この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
システム管理
[展開ノード(Deployment Nodes)] ページを使用すると、Cisco ISE(管理、ポリシー サービス、およびモニタリング)ノードを設定し、展開を設定することができます。
次の表に、展開内の Cisco ISE ノードを設定するために使用できる [展開のノードリスト(Deployment Nodes List)] ページのフィールドを示します。このページへのナビゲーション パスは、 です。
フィールド | 使用上のガイドライン |
---|---|
ホストネーム | Cisco ISE ノードのホスト名を表示します。 |
[FQDN] | Cisco ISE ノードの完全修飾ドメイン名を表示します。たとえば、ise1.cisco.com などです。 |
[IPアドレス(IP Address)] | Cisco ISE ノードの IP アドレスを表示します。 |
ノード タイプ(Node Type) | ノード タイプを表示します。 |
ペルソナ(Personas) | |
管理(Administration) |
Cisco ISE ノードに管理ペルソナを担当させる場合は、このチェックボックスをオンにします。管理ペルソナは、管理サービスを提供するようライセンスされているノードでのみ有効にできます。 ロール(Role):管理ペルソナが展開で担当しているロールを表示します。[スタンドアロン(Standalone)]、[プライマリ(Primary)]、[セカンダリ(Secondary)] のいずれかの値になります。 プライマリにする(Make Primary):ノードをプライマリ Cisco ISE ノードにする場合にこのボタンをクリックします。展開では 1 つのプライマリ Cisco ISE ノードのみを使用できます。このページのその他のオプションは、ノードをプライマリにした後にのみアクティブになります。展開では 2 つの管理ノードのみを使用できます。ノードにスタンドアロン ロールが割り当てられている場合、[プライマリにする(Make Primary)] ボタンがノードの横に表示されます。ノードにセカンダリ ロールが割り当てられている場合、[プライマリに昇格(Promote to Primary)] ボタンがノードの横に表示されます。ノードにプライマリ ロールがあり、そのノードを使用して登録されている他のノードがない場合は、ノードの横に [スタンドアロンにする(Make Standalone)] ボタンが表示されます。このボタンをクリックすると、プライマリ ノードをスタンドアロン ノードにすることができます。 |
モニタリング(Monitoring) |
Cisco ISE ノードにモニタリング ペルソナを担当させ、ログ コレクタとして機能させる場合は、このチェックボックスをオンにします。分散展開内にモニタリング ノードが少なくとも 1 つ存在する必要があります。プライマリ PAN の設定時に、モニタリング ペルソナを有効にする必要があります。展開内のセカンダリ モニタリング ノードを登録した後、必要に応じてプライマリ PAN を編集したり、モニタリング ペルソナを無効にしたりできます。VMware プラットフォームで Cisco ISE ノードをログ コレクタとして設定するには、次のガイドラインに従って最低限必要なディスク領域を決定します。1 日あたりネットワーク内のエンドポイント 1 つにつき 180 KB、1 日あたりネットワーク内の Cisco ISE ノード 1 つにつき 2.5 MB となります。 モニタリング ノードに何ヵ月分のデータを格納するかに応じて、必要な最大ディスク領域を計算します。展開にモニタリング ノードが 1 つしかない場合は、スタンドアロン ロールを担当します。展開に 2 つのモニタリング ノードがある場合は、Cisco ISE に、プライマリ-セカンダリ ロールを設定する他のモニタリング ノードの名前が表示されます。これらのロールを設定するには、次のいずれかを選択します。
モニタリング ノードの 1 つをプライマリまたはセカンダリとして設定すると、もう一方のモニタリング ノードが自動的にそれぞれセカンダリ ノードまたはプライマリ ノードになります。プライマリ モニタリング ノードおよびセカンダリ モニタリング ノードは、管理ログおよびポリシー サービス ログを受信します。1 つのモニタリング ノードのロールを [なし(None)] に変更した場合、他方のモニタリング ノードのロールも同様に [なし(None)] になり、それによって高可用性ペアがキャンセルされます。モニタリング ノードとしてノードを指定すると、そのノードが [管理(Administration)] > [システム(System)] > [ロギング(Logging)] > [リモートロギングターゲット(Remote Logging Targets)] ページで syslog ターゲットとして表示されます。 |
ポリシー サービス(Policy Service) | 次のサービスの 1 つまたはすべてを有効にするには、このチェックボックスをオンにします。
|
pxGrid | pxGrid ペルソナを有効にするには、このチェック ボックスをオンにします。Cisco pxGrid は、Cisco ISE セッション ディレクトリから Cisco Adaptive Security Appliance(ASA)などの他のポリシー ネットワーク システムへコンテキスト依存情報を共有するために使用されます。pxGrid フレームワークは、ポリシー データや設定データをノード間で交換するためにも使用できます(たとえば、ISE とサード パーティ ベンダー間でのタグやポリシー オブジェクトの共有)。また、脅威情報など、非 ISE 関連情報の交換用にも使用できます。 |
[証明書ストア(Certificate Store)] ページでは、認証に使用できる証明書を Cisco ISE で設定することができます。
次の表では、[自己署名証明書の生成(Generate Self Signed Certificate)] ページのフィールドについて説明します。このページでは、ノード間通信、EAP-TLS 認証、Cisco ISE Web ポータル、および pxGrid コントローラとの通信用のシステム証明書を作成できます。このページのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [システム証明書(System Certificates)] > [自己署名証明書の生成(Generate Self Signed Certificate)] です。
フィールド | 使用上のガイドライン | ||
---|---|---|---|
ノードの選択(Select Node) |
(必須)システム証明書を生成するノード。 |
||
一般名(Common Name)(CN) |
(SAN を指定しない場合に必須)デフォルトでは、一般名は自己署名証明書を生成する ISE ノードの完全修飾ドメイン名です。 |
||
組織 |
組織ユニット名。Engineering など。 |
||
組織(Organization)(O) |
組織名。Cisco など。 |
||
都市(City)(L) |
(省略不可)都市名。San Jose など。 |
||
州(State)(ST) |
(省略不可)州名。California など。 |
||
国(Country)(C) |
国名。2 文字の ISO 国番号を入力する必要があります。US など。 |
||
サブジェクト代替名(Subject Alternative Name)(SAN) |
証明書に関連付けられた IP アドレス、DNS 名、または Uniform Resource Identifier(URI)。 |
||
キー タイプ |
RSA または ECDSA の公開キーの作成に使用するアルゴリズムを指定します。 |
||
Key Length |
公開キーのビット サイズを指定します。
パブリック CA 署名付き証明書を取得する場合、または FIPS 準拠ポリシー管理システムとして Cisco ISE を展開する場合は、2048 を選択します。 |
||
署名するダイジェスト(Digest to Sign With) |
ハッシュ アルゴリズム SHA-1 または SHA-256 を選択します。 |
||
証明書ポリシー(Certificate Policies) |
証明書が従うべき証明書ポリシーの OID または OID のリストを入力します。OID を区切るには、カンマまたはスペースを使用します。 |
||
TTL 有効期限(Expiration TTL) |
証明書が失効するまでの日数を指定します。 |
||
フレンドリ名(Friendly Name) |
証明書のフレンドリ名を入力します。名前を指定しない場合は、<common name> # <issuer> # <nnnnn> の形式で自動的に名前が作成されます。ここで、<nnnnn> は固有の 5 桁の数値です。 |
||
ワイルドカード証明書の許可(Allow Wildcard Certificates) |
自己署名したワイルドカード証明書(サブジェクトの任意の一般名またはサブジェクト代替名の DNS 名、またはその両方にアスタリスク(*)が含まれている証明書)を生成する場合は、このチェックボックスをオンにします。たとえば、SAN に割り当てられている DNS 名が *.amer.cisco.com の場合です。 |
||
使用方法 |
このシステム証明書を使用する必要があるサービスを選択します。
|
Cisco ISE では、1 つの要求で、管理者ポータルから展開内のすべてのノードの CSR を生成することができます。また、展開内の単一ノードまたは複数両方のノードのどちらの CSR を生成するのか選択することもできます。単一ノードの CSR を生成する場合、ISE は証明書サブジェクトの [CN=] フィールドの特定ノードの完全修飾ドメイン名(FQDN)を自動的に置き換えます。証明書の [サブジェクト代替名(Subject Alternative Name (SAN))] フィールドにエントリを含めることを選択した場合、他の SAN 属性に加えて ISE ノードの FQDN を入力する必要があります。展開内のすべてのノードの CSR を生成することを選択した場合は、[ワイルドカード証明書の許可(Allow Wildcard Certificates)] チェックボックスをオンにして、[SAN] フィールド(DNS 名)にワイルドカード表記で FQDN を入力します(*.amer.example.com など)。EAP 認証に証明書を使用する場合は、[CN=] フィールドにワイルドカード値を入力しないでください。
ワイルドカード証明書を使用することにより、各 Cisco ISE ノードに固有の証明書を生成する必要がなくなります。また、証明書の警告を防ぐために、SAN フィールドに複数の FQDN 値を入力する必要もありません。SAN フィールドでアスタリスク(*)を使用すると、展開内の複数の両方のノードで単一の証明書を共有できるようになり、証明書名の不一致による警告を防止することができます。ただし、ワイルドカード証明書は、各 Cisco ISE ノードに固有のサーバ証明書を割り当てる場合よりも安全性が低いと見なされます。
次の表に、認証局(CA)が署名可能な証明書署名要求(CSR)の生成に使用できる [証明書署名要求(Certificate Signing Request)] ページのフィールドを示します。このページのナビゲーション パスは
です。フィールド | 使用上のガイドライン | ||
---|---|---|---|
証明書の用途(Certificate(s) will be used for) |
証明書を使用するサービスを選択します。 Cisco ISE ID 証明書
Cisco ISE 認証局証明書
|
||
ワイルドカード証明書の許可(Allow Wildcard Certificates) |
証明書の [SAN] フィールドの CN/DNS 名にワイルドカード文字(*)を使用するには、このチェックボックスをオンにします。このチェックボックスをオンにすると、展開内のすべてのノードが自動的に選択されます。左端のラベルの位置にアスタリスク(*)ワイルドカード文字を使用する必要があります。ワイルドカード証明書を使用する場合は、セキュリティを強化するためにドメイン領域を分割することを推奨します。たとえば、*.example.com の代わりに *.amer.example.com を使用して領域を分割することができます。ドメインを分割しないと、セキュリティ問題が発生する可能性があります。 |
||
これらのノードの CSR の生成(Generate CSRs for these Nodes) |
証明書を生成するノードの隣のチェックボックスをオンにします。展開内の選択されたノードの CSR を生成するには、[ワイルドカード証明書の許可(Allow Wildcard Certificates)] オプションをオフにします。 |
||
一般名(Common Name)(CN) |
デフォルトでは、一般名は CSR を生成する ISE ノードの FQDN です。$FQDN$ は ISE ノードの FQDN を意味します。展開内の複数ノードの CSR を生成すると、CSR の [一般名(Common Name)] フィールドは各 ISE ノードの FQDN に置き換えられます。 |
||
組織 |
組織ユニット名。Engineering など。 |
||
組織(Organization)(O) |
組織名。Cisco など。 |
||
都市(City)(L) |
(省略不可)都市名。San Jose など。 |
||
州(State)(ST) |
(省略不可)州名。California など。 |
||
国(Country)(C) |
国名。2 文字の ISO 国番号を入力する必要があります。US など。 |
||
サブジェクト代替名(Subject Alternative Name)(SAN) |
証明書に関連付けられている IP アドレス、DNS 名、Uniform Resource Identifier(URI)、またはディレクトリ名。
|
||
キー タイプ |
RSA または ECDSA の公開キーの作成に使用するアルゴリズムを指定します。 |
||
Key Length |
公開キーのビット サイズを指定します。
パブリック CA の署名付き証明書を取得するか、FIPS 準拠ポリシー管理システムとして Cisco ISE を展開する場合は 2048 以上を選択します。 |
||
署名するダイジェスト(Digest to Sign With) |
ハッシュ アルゴリズム SHA-1 または SHA-256 を選択します。 |
||
証明書ポリシー(Certificate Policies) |
証明書が従うべき証明書ポリシーの OID または OID のリストを入力します。OID を区切るには、カンマまたはスペースを使用します。 |
次の表で、[発行および失効した証明書の概要(Overview of Issued and Revoked Certificates)] ページのフィールドについて説明します。展開内の PSN ノードがエンドポイントに証明書を発行します。このページでは、展開内の各 PSN ノードが発行するエンドポイント証明書に関する情報を示します。このページへのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [概要(Overview)] です。
フィールド | 使用上のガイドライン |
---|---|
ノード名 |
証明書を発行したポリシー サービス ノード(PSN)の名前。 |
[発行された証明書(Certificates Issued)] |
PSN ノードが発行したエンドポイント証明書の数。 |
[取り消された証明書(Certificates Revoked)] |
失効したエンドポイント証明書(PSN ノードが発行した証明書)の数。 |
[証明書要求(Certificates Requests)] |
PSN ノードが処理した証明書ベースの認証要求の数。 |
[失敗した証明書(Certificates Failed)] |
PSN ノードが処理する失敗した認証要求の数。 |
Cisco ISE は、証明書失効リスト(CRL)を定期的にチェックします。このページを使用して、自動的にダウンロードされた CRL に対して進行中のセッションをチェックするように Cisco ISE を設定できます。OCSP または CRL のチェックを毎日開始する時刻と、OCSP サーバまたは CRL を再度チェックする前に Cisco ISE が待機する時間間隔を時間単位で指定できます。
次の表では、[証明書定期チェックの設定(Certificate Periodic Check Settings)] ページのフィールドについて説明します。このページを使用して、証明書(OCSP または CRL)のステータスをチェックする時間間隔を指定できます。このページへのナビゲーション パスは、
です。フィールド | 使用上のガイドライン |
---|---|
証明書チェックの設定 |
|
自動的に取得されたCRLに対する進行中のセッションのチェック(Check ongoing sessions against automatically retrieved CRL) |
Cisco ISE が自動的にダウンロードされた CRL に対する進行中のセッションをチェックするようにするには、このチェックボックスをオンにします。 |
CRL/OCSP の定期的な証明書チェック |
|
最初のチェック時刻(First check at) |
CRL または OCSP のチェックを毎日開始する時刻を指定します。00:00 ~ 23:59 の時間範囲の値を入力します。 |
チェック間隔(Check every) |
CRL または OCSP サーバを再度チェックする前に Cisco ISE が待機する時間間隔を時間単位で指定します。 |
次の表では、サーバ証明書をインポートするために使用できる [システム証明書のインポート(Import System Certificate)] ページのフィールドについて説明します。このページへのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [システム証明書(System Certificates)] > [インポート(Import)] です。
フィールド | 説明 |
---|---|
ノードの選択(Select Node) |
(必須)システム証明書をインポートする Cisco ISE ノードを選択します。 |
証明書ファイル(Certificate file) |
(必須)[参照(Browse)] をクリックして、ローカル システムから証明書ファイルを選択します。 |
秘密キー ファイル(Private key file) |
(必須)[参照(Browse)] をクリックして、秘密キー ファイルを選択します。 |
[パスワード(Password)] |
(必須)秘密キー ファイルを復号化するためのパスワードを入力します。 |
フレンドリ名(Friendly Name) |
証明書のフレンドリ名を入力します。名前を指定しない場合は、<common name> # <issuer> # <nnnnn> の形式で自動的に名前が作成されます。ここで、<nnnnn> は固有の 5 桁の数値です。 |
ワイルドカード証明書の許可(Allow Wildcard Certificates) |
ワイルドカード証明書(サブジェクトの任意の一般名またはサブジェクト代替名の DNS 名、またはその両方にアスタリスク(*)が含まれている証明書)をインポートする場合は、このチェックボックスをオンにします。たとえば、SAN に割り当てられている DNS 名が *.amer.cisco.com の場合です。このチェックボックスをオンにすると、Cisco ISE は展開内の他のすべてのノードにこの証明書をインポートします。 |
証明書の拡張の検証(Validate Certificate Extensions) |
Cisco ISE に証明書の拡張の検証を許可する場合は、このチェックボックスをオンにします。このチェックボックスをオンにし、かつインポートする証明書に CA フラグが true に設定された基本制約拡張が含まれている場合は、キー使用拡張が存在すること、および keyEncipherment ビットと keyAgreement ビットのいずれかまたは両方が設定されていることを確認します。 |
使用方法 |
このシステム証明書を使用する必要があるサービスを選択します。
|
次の表では、管理ノードに追加された証明書を表示するために使用できる [信頼できる証明書ストア(Trusted Certificates Store)] ページのフィールドについて説明します。このページへのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [信頼できる証明書(Trusted Certificates)] です。
証明書の有効期限のステータスに関する情報です。このコラムに表示される情報メッセージには 5 つのアイコンとカテゴリがあります。 |
次の表では、認証局(CA)証明書属性を編集するために使用できる [証明書ストアの証明書編集(Certificate Store Edit Certificate)] ページのフィールドについて説明します。このページへのナビゲーション パスは、 です。
[有効(Enabled)] または [無効(Disabled)] を選択します。[無効(Disabled)] の場合、ISE は信頼を確立するために証明書を使用しません。 |
|
この証明書で(他の ISE ノードまたは LDAP サーバから)サーバ証明書を検証する場合は、このチェックボックスをオンにします。 |
|
クライアント認証および syslog 用に信頼する(Trust for client authentication and Syslog) |
([ISE 内の認証用に信頼する(Trust for authentication within ISE)] チェックボックスをオンにした場合に限り適用可能)この証明書を使用して次を行う場合は、このチェックボックスをオンにします。 |
シスコ サービスの認証用に信頼する(Trust for authentication of Cisco Services) |
フィード サービスなどの外部シスコ サービスを信頼するためにこの証明書を使用する場合は、このチェックボックスをオンにします。 |
証明書ステータスの検証(Certificate Status Validation) |
ISE は、特定の CA が発行するクライアントまたはサーバ証明書の失効ステータスをチェックする 2 とおりの方法をサポートしています。1 つは、Online Certificate Status Protocol(OCSP)を使用して証明書を検証することです(OCSP は、CA によって保持される OCSP サービスに要求を行います)。もう 1 つは、ISE に CA からダウンロードした証明書失効リスト(CRL)に対して証明書を検証することです。両方の方法は、OCSP を最初に使用し、ステータスを判断できないときに限り CRL を使用する場合に使用できます。 |
OCSP サービスに対して証明書を検証するには、このチェックボックスをオンにします。このボックスをオンにするには、まず OCSP サービスを作成する必要があります。 |
|
OCSP が不明なステータスを返した場合は要求を拒否する(Reject the request if OCSP returns UNKNOWN status) |
認証ステータスが OCSP によって判別されなかった場合に要求を拒否するには、このチェックボックスをオンにします。このチェックボックスをオンにした場合、OCSP サービスによって不明のステータス値が返されると、ISE は現在評価されているクライアントまたはサーバ証明書を拒否します。 |
OCSP応答側が到達不能な場合は要求を拒否する(Reject the request if OCSP Responder is unreachable) |
OCSP 応答側が到達不能な場合に ISE が要求を拒否するには、このチェックボックスをオンにします。 |
CA から CRL をダウンロードするための URL を入力します。認証局証明書で指定されている場合、このフィールドは自動的に読み込まれます。URL は「http」、「https」、または「ldap」で始まる必要があります。 |
|
CRL を受信しない場合 CRL 検証をバイパスする(Bypass CRL Verification if CRL is not Received) |
このチェックボックスをオンにした場合、クライアント要求は CRL が受信される前に受け入れられます。このチェックボックスをオフにした場合、選択した CA によって署名された証明書を使用するすべてのクライアント要求は、Cisco ISE によって CRL ファイルが受信されるまで拒否されます。 |
CRL がまだ有効でないか、または期限切れの場合は無視する(Ignore that CRL is not yet valid or expired) |
Cisco ISE で開始日と期限日を無視し、まだアクティブでないかまたは期限切れの CRL を引き続き使用し、CRL の内容に基づいて EAP-TLS 認証を許可または拒否する場合は、このチェックボックスをオンにします。 Cisco ISE で [有効日(Effective Date)] フィールドの開始日と [次の更新(Next Update)] フィールドの期限日を CRL ファイルでチェックする場合は、このチェックボックスをオフにします。CRL がまだアクティブではないか、または期限切れの場合、その CA によって署名された証明書を使用するすべての認証は拒否されます。 |
次の表では、認証局(CA)証明書を Cisco ISE に追加するために使用できる [信頼できる証明書のインポート(Trusted Certificate Import)] ページのフィールドについて説明します。このページへのナビゲーション パスは です。
証明書ファイル(Certificate file) |
|
証明書のフレンドリ名を入力します。名前を指定しない場合は、Cisco ISE により <common name>#<issuer>#<nnnnn> の形式で自動的に名前が作成されます。ここで、<nnnnn> は固有の 5 桁の数値です。 |
|
この証明書を(他の ISE ノードまたは LDAP サーバから)サーバ証明書の検証に使用する場合は、このチェックボックスをオンにします。 |
|
クライアント認証および syslog 用に信頼する(Trust for client authentication and Syslog) |
([ISE 内の認証用に信頼する(Trust for authentication within ISE)] チェックボックスをオンにした場合に限り適用可能)この証明書を使用して次を行う場合は、このチェックボックスをオンにします。 |
シスコ サービスの認証用に信頼する(Trust for authentication of Cisco Services) |
フィード サービスなどの外部シスコ サービスを信頼するためにこの証明書を使用する場合は、このチェックボックスをオンにします。 |
証明書の拡張の検証(Validate Certificate Extensions) |
([クライアント認証用に信頼する(Trust for client authentication)] オプションと [証明書拡張の検証を有効にする(Enable Validation of Certificate Extensions)] オプションの両方をオンにした場合のみ)「keyUsage」拡張が存在し、「keyCertSign」ビットが設定されていることと、CA フラグが true に設定された基本制約拡張が存在することを確認します。 |
次の表では、OCSP クライアント プロファイル設定を行うために使用できる [OCSP クライアント プロファイル(OCSP Client Profile)] ページのフィールドについて説明します。このページへのナビゲーション パスは、 です。
フィールド | 使用上のガイドライン |
---|---|
[名前(Name)] |
OCSP クライアント プロファイル名。 |
説明 |
任意で説明を入力します。 |
OCSP応答側の設定(Configure OCSP Responder) |
|
セカンダリ サーバの有効化(Enable Secondary Server) |
ハイ アベイラビリティのセカンダリ OCSP サーバを有効にするには、このチェックボックスをオンにします。 |
常にプライマリ サーバに最初にアクセスする(Always Access Primary Server First) |
このオプションは、セカンダリ サーバへの移動を試行する前にプライマリ サーバをチェックする場合に使用します。プライマリが以前にチェックされ、応答しないことがわかっている場合にも、Cisco ISE はセカンダリ サーバに移動する前にプライマリ サーバへの要求の送信を試行します。 |
n 分経過後にプライマリ サーバにフォールバック(Fallback to Primary Server After Interval n Minutes) |
このオプションは、Cisco ISE がセカンダリ サーバに移動してから、再度プライマリ サーバにフォールバックする場合に使用します。この場合、その他の要求はすべてスキップされ、テキスト ボックスで設定した時間セカンダリ サーバが使用されます。許可される時間の範囲は 1 ~ 999 分です。 |
プライマリ サーバとセカンダリ サーバ(Primary and Secondary Servers) |
|
URL |
プライマリおよびセカンダリ OCSP サーバの URL を入力します。 |
ナンス拡張サポートの有効化(Enable Nonce Extension Support) |
ナンスが OCSP 要求の一部として送信されるように設定できます。ナンスには、OCSP 要求の疑似乱数が含まれます。応答で受信される数値は要求に含まれる数値と同じであることが検証されています。このオプションにより、リプレイ アタックで古い通信を再利用できないことが保証されます。 |
応答の署名の検証(Validate Response Signature) |
OCSP レスポンダは、次のいずれかの証明書を使用して応答に署名します。 |
Authority Information Access(AIA)に指定されたOCSP URLを使用する(Use OCSP URLs specified in Authority Information Access (AIA)) |
Authority Information Access の拡張で指定されている OCSP URL を使用するには、オプション ボタンをクリックします。 |
応答キャッシュ(Response Cache) |
|
キャッシュ エントリの存続可能時間 n 分(Cache Entry Time To Live n Minutes) |
キャッシュ エントリが期限切れになる時間を分単位で入力します。 OCSP サーバからの各応答には nextUpdate 値が含まれています。この値は、証明書のステータスがサーバで次にいつ更新されるかを示します。OCSP 応答がキャッシュされるとき、2 つの値(1 つは設定から、もう 1 つは応答から)が比較され、この 2 つの最小値の時間だけ応答がキャッシュされます。nextUpdate 値が 0 の場合、応答はまったくキャッシュされません。 Cisco ISE は設定された時間 OCSP 応答をキャッシュします。キャッシュは複製されず、永続的でもないため、Cisco ISE が再起動するとキャッシュはクリアされます。 デフォルトでは、キャッシュは内部 CA OCSP クライアント プロファイルに対し 2 分に設定されています。エンドポイントが最初の認証から 2 分以内にもう一度認証すると、OCSP のキャッシュが使用され、OCSP レスポンダには問い合わせされません。エンドポイントの証明書がキャッシュ期間内に失効した場合、以前の OCSP のステータス [良好(Good)] が使用され、認証は成功します。キャッシュを 0 分に設定すると、応答はキャッシュされません。このオプションでは、セキュリティは向上しますが、認証のパフォーマンスは低下します。 |
キャッシュのクリア(Clear Cache) |
OCSP サービスに接続されているすべての認証局のエントリをクリアするには、[キャッシュのクリア(Clear Cache)] をクリックします。 展開内で、[キャッシュのクリア(Clear Cache)] はすべてのノードと相互作用して、処理を実行します。このメカニズムでは、展開内のすべてのノードが更新されます。 |
次の表では、内部 CA の設定ページのフィールドについて説明します。内部 CA の設定を表示し、このページから内部 CA サービスを無効にできます。このページへのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [内部 CA の設定(Internal CA Settings)] です。
フィールド | 使用上のガイドライン |
---|---|
認証局の無効化(Disable Certificate Authority) |
内部 CA サービスを無効にするには、このボタンをクリックします。 |
ホスト名(Host Name) |
CA サービスを実行している Cisco ISE ノードのホスト名。 |
ペルソナ(Personas) |
CA サービスを実行しているノードで有効な Cisco ISE ノードのペルソナ。たとえば、管理、ポリシー サービスなどです。 |
ロール(Role(s)) |
CA サービスを実行する Cisco ISE ノードが担当するロール。たとえば、スタンドアロンまたはプライマリまたはセカンダリです。 |
CA、EST、および OCSP 応答側のステータス(CA, EST & OCSP Responder Status) |
有効または無効 |
OCSP 応答側 URL(OCSP Responder URL) |
OCSP サーバにアクセスするための Cisco ISE ノードの URL。 |
SCEP URL |
SCEP サーバにアクセスするための Cisco ISE ノードの URL。 |
次の表に、クライアント プロビジョニング ポリシーで使用される SCEP RA プロファイルの定義に使用できる [CA 証明書テンプレート(CA Certificate Template)] ページのフィールドを示します。このページへのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [証明書テンプレート(Certificate Templates)] > [追加(Add)] です。
![]() (注) | 証明書テンプレート フィールド([組織ユニット(Organizational Unit)]、[組織(Organization)]、[都市(City)]、[州(State)]、および [国(Country)])の UTF-8 文字はサポートしていません。UTF-8 文字を証明書テンプレートで使用すると、証明書プロビジョニングが失敗します。 |
フィールド | 使用上のガイドライン |
---|---|
[名前(Name)] |
(必須)証明書テンプレートの名前を入力します。たとえば、Internal_CA_Template とします。 |
説明 |
(任意)説明を入力します。 |
一般名(Common Name)(CN) |
(表示のみ)一般名にはユーザ名が自動入力されます。 |
組織 |
組織ユニット名。Engineering など。 |
組織(Organization)(O) |
組織名。Cisco など。 |
都市(City)(L) |
(省略不可)都市名。San Jose など。 |
州(State)(ST) |
(省略不可)州名。California など。 |
国(Country)(C) |
国名。2 文字の ISO 国番号を入力する必要があります。US など。 |
サブジェクト代替名(Subject Alternative Name)(SAN) |
(表示のみ)エンドポイントの MAC アドレス。 |
キー タイプ |
RSA または ECC |
キー サイズ |
(RSA を選択した場合にのみ適用可能)1024 以上のキー サイズを指定します。 |
曲線タイプ(Curve Type) |
(ECC を選択した場合にのみ適用可能)曲線のタイプを指定します(デフォルトは P-384 です)。 |
SCEP RA プロファイル(SCEP RA Profile) |
ISE 内部 CA または作成した外部 SCEP RA プロファイルを選択します。 |
有効期限(Valid Period) |
証明書の期限が切れるまでの日数を入力します。 |
拡張キーの使用状況 |
|
クライアント認証 |
クライアント認証にこの証明書を使用する場合は、このチェック ボックスをオンにします。 |
サーバ認証(Server Authentication) |
サーバ認証にこの証明書を使用する場合は、このチェック ボックスをオンにします。 |
次の各ページでは、デバッグ ログの重大度の設定、外部ログ ターゲットの作成が可能です。また、Cisco ISE がこれらの外部ログ ターゲットにログ メッセージを送信できるようにできます。
次の表では、外部の場所(syslog サーバ)を作成してロギング メッセージを保存するために使用できる [リモート ロギング ターゲット(Remote Logging Targets)] ページのフィールドについて説明します。このページへのナビゲーション パスは、 です。
ロギングに使用する syslog ファシリティ コードを選択します。有効なオプションは、Local0 ~ Local7 です。 |
|
TCP syslog ターゲットおよびセキュア syslog ターゲットが使用できないときに Cisco ISE に syslog メッセージをバッファするには、このチェックボックスをオンにします。ISE は、接続が再開されるとターゲットへのメッセージの送信を再試行します。接続が再開された後、メッセージは古いものから順に送信され、バッファ内のメッセージは常に新しいメッセージの前に送信されます。バッファがいっぱいになると、古いメッセージが廃棄されます。 |
|
各ターゲットのバッファ サイズを設定します。デフォルトでは、100 MB に設定されます。バッファ サイズを変更するとバッファがクリアされ、特定のターゲットのバッファリングされた既存のすべてのメッセージが失われます。 |
|
ISE でサーバ証明書認証が無視されるようにして、syslog サーバを許可するには、このチェックボックスをオンにします。デフォルトでは、このオプションが無効になっているときにシステムが FIPS モードでない限り、このオプションはオフに設定されます。 |
フィールド | 使用上のガイドライン |
---|---|
[名前(Name)] |
ロギング カテゴリの名前を表示します。 |
ログの重大度レベル(Log Severity Level) |
次のオプションから、診断ロギング カテゴリの重大度レベルを選択できます。 |
ローカル ロギング(Local Logging) |
ローカル ノードで上のこのカテゴリのロギング イベントを有効にするには、このチェックボックスをオンにします。 |
ターゲット(Target) |
左アイコンと右アイコンを使用して [使用可能(Available)] と [選択済み(Selected)] のボックス間でターゲットを移動することによって、カテゴリのターゲットを変更できます。[使用可能(Available)] ボックスには、論理(事前定義済み)と外部(ユーザ定義)という両方の既存のロギング ターゲットが含まれています。最初は空の [選択済み(Selected)] ボックスには、特定のカテゴリの選択済みターゲットが含まれます。 |
次の表では、リポジトリを作成してバックアップ ファイルを保存するために使用できる [リポジトリ リスト(Repository List)] ページのフィールドについて説明します。このページへのナビゲーション パスは、 です。
(TFTP、HTTP、HTTPS、FTP、SFTP、および NFS で必須)リポジトリの作成先サーバのホスト名または IPv4 アドレスを入力します。 |
|
リポジトリへのパスを入力します。このパスは、リポジトリの作成時に有効であり、存在している必要があります。 この値は、サーバのルート ディレクトリを示す 2 つのスラッシュ(//)または単一のスラッシュ(/)で開始できます。ただし、FTP プロトコルの場合は、単一のスラッシュ(/)はルート ディレクトリではなく FTP ユーザのホーム ディレクトリを示します。 |
|
PKI 認証を有効にします。 |
(オプション:SFTP リポジトリにのみ適用)SFTP リポジトリで RSA 公開キー認証を有効にするには、このチェック ボックスをオンにします。 |
(FTP、SFTP、および NFS で必須)指定されたサーバに対する書き込み権限を持つユーザ名を入力します。使用できる文字は英数字のみです。 |
|
(FTP、SFTP、および NFS で必須)指定されたサーバへのアクセスに使用するパスワードを入力します。パスワードに使用できる文字は、0 ~ 9、a ~ z、A ~ Z、-、.、|、@、#、$、%、^、&、*、,、+、および = です。 |
フィールド |
使用上のガイドライン |
---|---|
リポジトリ(Repository) |
リポジトリの名前を入力します。最大 80 文字の英数字を使用できます。 |
プロトコル |
使用する使用可能なプロトコルの 1 つを選択します。 |
ホスト |
(TFTP、HTTP、HTTPS、FTP、SFTP、および NFS で必須)リポジトリの作成先サーバのホスト名または IPv4 アドレスを入力します。 |
パス |
リポジトリへのパスを入力します。このパスは、リポジトリの作成時に有効であり、存在している必要があります。 この値は、サーバのルート ディレクトリを示す 2 つのスラッシュ(//)または単一のスラッシュ(/)で開始できます。ただし、FTP プロトコルの場合は、単一のスラッシュ(/)はルート ディレクトリではなく FTP ユーザのホーム ディレクトリを示します。 |
フィールド | 使用上のガイドライン |
---|---|
バックアップ名(Backup Name) |
バックアップ ファイルの名前を入力します。 |
リポジトリ名(Repository Name) |
バックアップ ファイルを保存するリポジトリ。ここにリポジトリ名を入力することはできません。ドロップダウン リストから利用可能なリポジトリのみを選択できます。バックアップの実行前にリポジトリを作成していることを確認してください。 |
暗号化キー(Encryption Key) |
このキーは、バックアップ ファイルの暗号化および解読に使用されます。 |
フィールド | 使用上のガイドライン |
---|---|
[名前(Name)] |
バックアップ ファイルの名前を入力します。任意の説明的な名前を入力できます。Cisco ISE は、バックアップ ファイル名にタイムスタンプを追加して、ファイルをリポジトリに格納します。一連のバックアップを設定しても、バックアップ ファイル名は一意になります。[スケジュール バックアップ(Scheduled Backup)] リスト ページでは、ファイルが kron occurrence ジョブであることを示すために、バックアップ ファイル名に「backup_occur」が付加されます。 |
説明 |
バックアップの説明を入力します。 |
リポジトリ名(Repository Name) |
バックアップ ファイルを保存するリポジトリを選択します。ここにリポジトリ名を入力することはできません。ドロップダウン リストから利用可能なリポジトリのみを選択できます。バックアップの実行前にリポジトリを作成していることを確認してください。 |
暗号化キー(Encryption Key) |
バックアップ ファイルを暗号化および復号化するためのキーを入力します。 |
スケジューリング オプション(Schedule Options) |
スケジュール バックアップの頻度を選択し、適宜他のオプションに入力します。 |
フィールド | 使用上のガイドライン |
---|---|
暗号化(Encryption) |
|
暗号化キー(Encryption Key) |
エクスポート データを暗号化および復号化するためのキーを入力します。このフィールドは、[暗号キーを使用したエクスポート(Export with Encryption Key)] オプションを選択した場合にのみ有効になります。 |
[接続先(Destination)] |
|
ローカル コンピュータにファイルをダウンロード(Download file to local computer) |
ポリシー エクスポート ファイルをローカル システムにダウンロードできます。 |
[ファイルをメールで送信(Email file to)] |
複数の電子メール アドレスをカンマで区切って入力します。 |
リポジトリ(Repository) |
エクスポート データを保存するリポジトリを選択します。ここにリポジトリ名を入力することはできません。ドロップダウン リストから利用可能なリポジトリのみを選択できます。ポリシーのエクスポートのスケジュールを設定する前に、リポジトリを作成してください。 |
今すぐエクスポート(Export Now) |
指定したリポジトリにデータをすぐにエクスポートするには、このオプションをクリックします。 |
スケジュール | |
スケジューリング オプション(Schedule Options) |
エクスポートのスケジュールの頻度を選択し、それに応じてその他の詳細を入力します。 |
次の表に、管理者パスワードが満たす必要のある基準を定義するために使用できる [管理者パスワード ポリシー(Administrator Password Policy)] ページのフィールドを示します。このページのナビゲーション パスは、 です。
フィールド |
使用上のガイドライン |
---|---|
最小長(Minimum Length) |
パスワードの最小長(文字数)を設定します。デフォルトは 6 文字です。 |
パスワードに使用できない文字(Password may not contain) |
[管理者名またはその文字の逆順は使用できません(Admin name or its characters in reverse order)]:このチェックボックスをオンにして、管理者ユーザ名またはその文字の逆順での使用を制限します。 |
[「cisco」またはその文字の逆順は使用できません("cisco" or its characters in reverse order)]:このチェックボックスをオンにして、単語「cisco」またはその文字の逆順での使用を制限します。 |
|
[この単語またはその文字の逆順は使用できません(This word or its characters in reverse order)]:このチェックボックスをオンにして、定義したすべての単語またはその文字の逆順での使用を制限します。 |
|
[4 回以上連続する繰り返し文字は使用できません(Repeated characters four or more times consecutively)]:このチェックボックスをオンにして、4 回以上連続する繰り返し文字の使用を制限します。 |
|
[辞書の単語、その文字の逆順、または文字の置き換えは使用できません(Dictionary words, their characters in reverse order or their letters replaced with other characters]:辞書の単語、単語の文字の逆順での使用、単語の文字の置き換えでの使用を制限します。 「s」を「$」、「a」を「@」、「o」を「0」、「l」を「1」、「i」を「!」、「e」を「3」に置き換えることはできません。たとえば Pa$$w0rd などです。
|
|
必須の文字(Required Characters) |
管理者パスワードに、次の選択肢から選択したタイプの文字が少なくとも 1 つ含まれている必要があることを指定します。 |
パスワード履歴(Password History) |
同じパスワードが繰り返し使用されるのを防ぐために、新しいパスワードと異なっている必要がある以前のパスワードの数を指定します。 また、以前のパスワードと異なる必要がある文字数を指定します。 ユーザがパスワードを再使用できない日数を入力します。 |
パスワード ライフタイム(Password Lifetime) |
次のオプションを指定して、指定した期間後にパスワードを変更するようユーザに強制します。 |
ネットワーク デバイスの機密データの表示 |
|
管理者パスワードが必要(Require Admin Password) |
共有秘密やパスワードなどのネットワーク デバイスの機密データを表示するために管理者ユーザがログイン パスワードを入力するようにする場合には、このチェック ボックスにマークを付けます。 |
パスワードのキャッシュ期間(Password cached for) |
管理者ユーザによって入力されたパスワードは、この期間キャッシュされます。管理者ユーザはこの間、ネットワーク デバイスの機密データを表示するためにパスワードの再入力を求められることはありません。有効な範囲は 1 ~ 60 分です。 |
次の表では、セッション タイムアウトを定義し、アクティブな管理セッションを終了するために使用できる [セッション(Session)] ページのフィールドについて説明します。このページへのナビゲーション パスは、 です。
アクティビティがない場合に管理者をログアウトするまでに Cisco ISE が待機する時間(分)を入力します。デフォルト値は 60 分です。有効な範囲は 6 ~ 100 分です。 |
|
次の表では、修復時間およびポスチャ ステータスなどの一般的なポスチャ設定を行うために使用できる [ポスチャの全般設定(Posture General Settings)] ページのフィールドについて説明します。このページへのナビゲーション パスは、 です。
準拠または非準拠を選択します。Linux のような非エージェント デバイスは、ネットワークに接続している間、このステータスを想定します。 |
|
一定時間(秒)経過後にログイン成功画面を自動的に閉じる(Automatically Close Login Success Screen After) |
このチェックボックスをオンにすると、指定された時間後に、ログイン成功画面が自動的に閉じます。 チェックボックスの隣のフィールドに、時間値を秒単位で入力します。 0 ~ 300 秒にログイン画面が自動的に閉じるようにタイマーを設定できます。時間をゼロに設定すると、NAC Agent および Web Agent にログイン成功画面が表示されなくなります。 |
連続モニタリング間隔(Continuous Monitoring Interval) |
AnyConnect がモニタリング データの送信を開始するまでの時間間隔を指定します。アプリケーション条件の場合アプリケーションおよびハードウェア条件の場合、デフォルト値は 5 分です。 |
ステルス モードでの利用規約(Acceptable Use Policy in Stealth Mode) |
会社のネットワーク使用条件が満たされていない場合、ステルス モードで [ブロック(Block)] を選択して、クライアントを非準拠ポスチャ ステータスに移行します。 |
ポスチャのリース |
|
ユーザがネットワークに接続するたびにポスチャ評価を行う(Perform posture assessment every time a user connects to the network) |
ユーザがネットワークに接続するたびにポスチャ評価を開始するには、このオプションを選択します。 |
n 日おきにポスチャ評価を行う(Perform posture assessment every n days) |
クライアントがすでにポスチャ準拠であるものの、指定された日数が経過したら、ポスチャ評価を開始する場合は、このオプションを選択します。 |
次の表では、ポスチャ再評価の設定に使用できる [ポスチャ再評価設定(Posture Reassessment Configurations)] ページのフィールドについて説明します。このページへのナビゲーション パスは、 です。
|
|||
クライアントが修復を完了することのできる時間間隔を分単位で入力します。猶予時間をゼロにすることはできません。また、PRA 間隔より大きくする必要があります。デフォルトの最小間隔(5 分)から最小 PRA 間隔までの範囲にすることができます。
|
|||
次の表では、ポスチャのアクセプタブル ユース ポリシーを設定するために使用できるポスチャの [利用規定設定(Acceptable Use Policy Configurations)] ページのフィールドについて説明します。このページへのナビゲーション パスは、 です。
エージェント ユーザへの AUP の表示(Show AUP to Agent users)(Windows の NAC Agent および Web Agent のみ) |
オンにした場合、[エージェント ユーザへの AUP の表示(Show AUP to Agent users)] チェックボックスはユーザ(Windows の NAC Agent と Web Agent のみ)にネットワークの利用規約へのリンクを表示し、それをクリックすると、認証およびポスチャ評価が成功したときに AUP が表示されます。 |
選択した場合、認証およびポスチャ評価が成功したときにクライアントがアクセスする必要がある AUP メッセージへの URL を AUP URL に入力する必要があります。 |
|
選択した場合、場所を参照し、トップ レベルに index.html を含む AUP ファイルにジップ形式のファイルをアップロードします。 .zip ファイルには、index.html ファイルに加えて、他のファイルおよびサブディレクトリを含めることができます。これらのファイルは、HTML タグを使用して相互に参照できます。 |
|
[AUP ファイル(AUP File)] で、ファイルを参照し、Cisco ISE サーバにアップロードします。これは zip 形式のファイルで、zip 形式のファイルではトップ レベルに index.html ファイルを含める必要があります。 |
|
[ユーザ ID グループの選択(Select User Identity Groups)] ドロップダウン リストで、AUP 設定の一意のユーザ ID グループまたはユーザ ID グループの一意の組み合わせを選択します。 |
|
利用規定設定 - 設定リスト(Acceptable use policy configurations—Configurations list) |
次の表に、EAP-FAST、EAP-TLS、および PEAP プロトコルを設定するために使用できる [プロトコル設定(Protocol Settings)] ページのフィールドを示します。このページへのナビゲーション パスは、 です。
クレデンシャルをクライアントに送信する Cisco ISE ノードを説明したわかりやすい文字列を入力します。クライアントは、この文字列をタイプ、長さ、および値(TLV)の Protected Access Credentials(PAC)情報で認識できます。デフォルト値は、Identity Services Engine です。 |
|
マスター キー生成期間を、秒、分、時間、日、または週単位で指定します。値は、1 ~ 2147040000 秒の正の整数である必要があります。デフォルトは 604800 秒で、これは 1 週間と同等です。 |
|
すべてのマスター キーおよび PAC の失効(Revoke all master keys and PACs) |
すべてのマスターキーと PAC を失効させるには、[失効(Revoke)] をクリックします。 |
PAC なしセッション再開の有効化(Enable PAC-less Session Resume) |
PAC ファイルなしで EAP-FAST を使用する場合は、このチェックボックスをオンにします。 |
PAC なしセッションのタイムアウト(PAC-less Session Timeout) |
PAC なしセッションの再開がタイムアウトするまでの時間を秒単位で指定します。デフォルトは 7200 秒です。 |
フィールド | 使用上のガイドライン |
---|---|
トンネル PAC(Tunnel PAC) |
トンネル PAC を生成するには、このオプション ボタンをクリックします。 |
マシン PAC(Machine PAC) |
マシン PAC を生成するには、このオプション ボタンをクリックします。 |
TrustSec PAC |
TrustSec PAC を生成するには、このオプション ボタンをクリックします。 |
ID(Identity) |
(トンネル PAC およびマシン PAC の ID フィールド用)EAP-FAST プロトコルによって「内部ユーザ名」として示されるユーザ名またはマシン名を指定します。ID 文字列がそのユーザ名と一致しない場合、認証は失敗します。これは、適応型セキュリティ アプライアンス(ASA)で定義されているホスト名です。ID 文字列は、ASA ホスト名に一致する必要があります。一致しない場合、ASA は生成された PAC ファイルをインポートできません。TrustSec PAC を生成する場合、[ID(Identity)] フィールドにより TrustSec ネットワーク デバイスのデバイス ID が指定され、EAP-FAST プロトコルによりイニシエータ ID とともに提供されます。ここに入力した ID 文字列がそのデバイス ID に一致しない場合、認証は失敗します。 |
PAC 存続可能時間(PAC Time To Live) |
(トンネル PAC およびマシン PAC 用)PAC の有効期限を指定する値を秒単位で入力します。デフォルトは 604800 秒で、これは 1 週間と同等です。この値は、1 ~ 157680000 秒の正の整数である必要があります。TrustSec PAC に対しては、日、週、月、または年単位で値を入力します。デフォルト値は 1 年です。最小値は 1 日、最大値は 10 年です。 |
暗号化キー(Encryption Key) |
暗号キーを入力します。キーの長さは 8 ~ 256 文字にする必要があります。キーはアルファベットの大文字または小文字、数字、または英数字の組み合わせを含むことができます。 |
期限日(Expiration Date) |
(TrustSec PAC のみ)有効期限は、PAC 存続可能時間に基づいて計算されます。 |
次の表では、[EAP-TTLS設定(EAP-TTLS Settings)] ページのフィールドについて説明します。このページへのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [設定(Settings)] > [プロトコル(Protocols)] > [EAP-TTLS] です。
フィールド |
使用上のガイドライン |
||
---|---|---|---|
EAP-TTLSセッションの再開を有効にする(Enable EAP-TTLS Session Resume) |
このチェックボックスをオンにすると、Cisco ISE はユーザが EAP-TTLS 認証のフェーズ 2 で正常に認証された場合に限り、EAP-TTLS 認証のフェーズ 1 で作成された TLS セッションをキャッシュします。ユーザが再接続しようとする場合、元の EAP-TTLS セッションがタイムアウトしていなければ、Cisco ISE はキャッシュされた TLS セッションを使用します。このため、EAP-TTLS のパフォーマンスが向上し、AAA サーバの負荷が軽減されます。
|
||
EAP-TTLSセッションタイムアウト(EAP-TTLS Session Timeout) |
EAP-TTLS セッションがタイムアウトするまでの時間を秒単位で指定します。デフォルト値は 7200 秒です。 |
フィールド | 使用上のガイドライン |
---|---|
EAP-TLS セッションの再開を有効にする(Enable EAP-TLS Session Resume) |
完全な EAP-TLS 認証に成功したユーザの簡略化された再認証をサポートする場合にオンにします。この機能により、Secure Sockets Layer(SSL)ハンドシェイクのみでユーザの再認証が可能となり、証明書の適用が不要になります。EAP-TLS セッションは、タイムアウトしていない限り動作を再開します。 |
EAP-TLS セッション タイムアウト(EAP-TLS Session Timeout) |
EAP-TLS セッションがタイムアウトするまでの時間を秒単位で指定します。デフォルト値は 7200 秒です。 |
[ステートレス セッション再開(Stateless Session Resume)] |
|
マスター キー生成期間(Master Key Generation Period) |
マスターキー再生成までの時間を入力します。この値により、マスター キーがアクティブである期間が決定します。この値は秒、分、時、日数、または週数で入力できます。 |
[取り消し(Revoke)] |
これまでに生成されたすべてのマスター キーとチケットをキャンセルするには、[取り消し(Revoke)] をクリックします。このオプションは、セカンダリ ノードでは無効です。 |
フィールド | 使用上のガイドライン |
---|---|
PEAP セッションの再開を有効にする(Enable PEAP Session Resume) |
このチェックボックスをオンにすると、Cisco ISE はユーザが PEAP 認証のフェーズ 2 で正常に認証された場合に限り、PEAP 認証のフェーズ 1 で作成された TLS セッションをキャッシュします。ユーザが再接続しようとする場合、元の PEAP セッションがタイムアウトしていなければ、Cisco ISE はキャッシュされた TLS セッションを使用します。このため、PEAP のパフォーマンスが向上し、AAA サーバの負荷が軽減されます。PEAP セッション再開機能を動作させるには、PEAP セッション タイムアウト値を指定する必要があります。 |
PEAP セッション タイムアウト(PEAP Session Timeout) |
PEAP セッションがタイムアウトするまでの時間を秒単位で指定します。デフォルト値は 7200 秒です。 |
高速再接続を有効にする(Enable Fast Reconnect) |
このチェックボックスをオンにすると、セッション再開機能が有効な場合に、ユーザ クレデンシャルを確認しないで PEAP セッションが Cisco ISE で再開することが許可されます。 |
次の表に、[RADIUS 設定(RADIUS Settings)] ページにある各フィールドの説明を示します。このページへのナビゲーション パスは、 です。
[繰り返し失敗するクライアントの抑制(Suppress Repeated Failed Clients)] オプションを有効にすると、認証が繰り返し失敗するクライアントは監査ログに出力されず、指定された期間にわたってこれらのクライアントからの要求が自動的に拒否されます。また、認証失敗回数を指定できます。失敗回数がこの回数を超えると、これらのクライアントからの要求は拒否されます。たとえばこの値を 5 に設定すると、クライアント認証が 5 回失敗した場合、指定された期間にわたってそのクライアントから受信する要求はすべて拒否されます。
[繰り返し失敗するクライアントの抑制(Suppress Repeated Failed Clients)] |
|||
[繰り返し失敗するクライアントの抑制(Suppress Repeated Failed Clients)] |
同じ理由で繰り返し認証に失敗するクライアントを抑止するには、このチェックボックスをオンにします。これらのクライアントは監査ログに出力されず、また [繰り返し失敗したクライアントからの RADIUS 要求を拒否する(Reject RADIUS Requests from Clients with Repeated Failures)] オプションが有効な場合には、指定された期間にわたってこれらのクライアントからの要求が拒否されます。 |
||
[2 回の失敗を検出する期間(Detect Two Failures Within)] |
分単位で時間間隔を入力します。クライアントがこの期間内に同じ理由で 2 回認証に失敗すると、監査ログに出力されず、また [繰り返し失敗したクライアントからの RADIUS 要求を拒否する(Reject RADIUS Requests from Clients with Repeated Failures)] オプションが有効な場合には、指定された期間にわたってこのクライアントからの要求が拒否されます。 |
||
[失敗を報告する間隔(Report Failures Once Every)] |
報告対象の認証失敗の時間間隔を分単位で入力します。たとえば、この値を 15 分に設定すると、繰り返し認証に失敗するクライアントが 15 分に 1 回だけ監査ログに報告されるため、報告の重複が防止されます。 |
||
[繰り返し失敗したクライアントからの RADIUS 要求を拒否する(Reject RADIUS Requests from Clients with Repeated Failures)] |
認証が繰り返し失敗するクライアントからの RADIUS 要求を自動的に拒否するには、このチェック ボックスをオンにします。Cisco ISE による不要な処理を防ぎ、Denial of Service(DoS)攻撃から防御するには、このオプションを有効にします。 |
||
[自動拒否前の失敗回数(Failures Prior to Automatic Rejection)] |
認証失敗回数を入力します。認証失敗回数がこの値を超えると、繰り返し失敗するクライアントからの要求は自動的に拒否されます。設定されている期間([要求を拒否する期間(Continue Rejecting Requests for)] で指定)にわたり、これらのクライアントから受信する要求はすべて自動的に拒否されます。この期間が経過した後では、これらのクライアントからの認証要求が処理されます。 | ||
[要求を拒否する期間(Continue Rejecting Requests for)] |
繰り返し失敗するクライアントからの要求を拒否する時間間隔を分単位で入力します。 |
||
[繰り返し発生するアカウンティング更新を無視する期間(Ignore Repeated Accounting Updates Within)] |
この期間内に繰り返し発生するアカウンティング更新は無視されます。 |
||
[成功レポートの抑制(Suppress Successful Reports)] | |||
直近の 24 時間で、ID、ネットワーク デバイス、および許可のコンテキストに変更がない認証要求成功が繰り返し報告されないようにするには、このチェックボックスをオンにします。 |
|||
[認証の詳細(Authentications Details)] |
|||
[次よりも長いステップを強調表示(Highlight Steps Longer Than)] |
ミリ秒単位で時間間隔を入力します。1 つのステップの実行が指定のしきい値を超えると、認証詳細ページでそのステップがクロック アイコンでマークされます。 |
||
RADIUS UDP ポート |
|||
認証ポート(Authentication Port) |
RADIUS UDP の認証フローに使用するポートを指定します。最大 4 つのポート番号(カンマ区切り)を指定できます。デフォルトでは、ポート 1812 とポート 1645 が使用されます。値の範囲は 1024 ~ 65535 です。 |
||
アカウンティング ポート(Accounting Port) |
RADIUS UDP のアカウンティング フローに使用するポートを指定します。最大 4 つのポート番号(カンマ区切り)を指定できます。デフォルトでは、ポート 1813 とポート 1646 が使用されます。値の範囲は 1024 ~ 65535 です。
|
||
RADIUS DTLS |
|||
認証およびアカウンティング ポート(Authentication and Accounting Port) |
RADIUS DTLS の認証およびアカウンティング フローに使用するポートを指定します。デフォルトでは、ポート 2083 が使用されます。値の範囲は 1024 ~ 65535 です。
|
||
アイドル タイムアウト |
パケットがネットワーク デバイスから届かなかったら、TLS セッションを終了する前に、Cisco ISE を待機する時間を秒単位で入力します。デフォルト値は 120 秒です。有効な範囲は 60 ~ 600 秒です。 |
||
RADIUS/DTLS クライアント ID 検証の有効化(Enable RADIUS/DTLS Client Identity Verification) |
Cisco ISE が DTLS ハンドシェイク中に RADIUS/DTLS クライアントの ID を確認するようにする場合は、このチェックボックスをオンにします。クライアント ID が有効でない場合、Cisco ISE はハンドシェイクに失敗します。デフォルトのネットワーク デバイスが設定されている場合、ID チェックはスキップされます。ID チェックは次の順序で実行されます。 |
フィールド | 使用上のガイドライン | ||
---|---|---|---|
トンネル PAC の存続可能時間(Tunnel PAC Time to Live) |
|
||
プロアクティブ PAC 更新は後で実行する(Proactive PAC Update Will Occur After) |
Cisco ISE は、認証に成功した後、設定したパーセンテージのトンネル PAC TTL が残っているときに、新しい PAC をクライアントに予防的に提供します。最初の正常な認証が PAC の有効期限前に行われると、サーバはトンネル PAC の更新を開始します。このメカニズムにより、クライアントは常に有効な PAC で更新されます。デフォルト値は 10% です。 |
||
システムはSGT番号を割り当てます(System will Assign SGT Numbers) |
Cisco ISE ですべての SGT 番号を自動的に生成する場合は、このオプションを選択します。 |
||
この範囲の数値を除く(Except Numbers in Range) |
デバイスに手動で設定するためにある範囲の SGT 番号を予約する場合は、このオプションを選択します。Cisco ISE は、SGT の生成時にこの範囲の数値を使用しません。 |
||
ユーザはSGT番号を手動で入力する必要があります(User Must Enter SGT Numbers Manually) |
SGT 番号を手動で定義するには、このオプションを選択します。 |
||
APIC EPGのセキュリティグループタグのナンバリング(Security Group Tag Numbering for APIC EPGs) |
このチェック ボックスをオンにして、APIC から学習された EPG に基づいて作成される SGT に使用される番号の範囲を指定します。 |
||
許可ルール作成時のセキュリティグループの自動作成(Auto Create Security Groups When Creating Authorization Rules) |
許可ポリシー ルールの作成時に SGT を自動的に作成するには、このチェックボックスをオンにします。 このオプションを選択すると、「セキュリティグループの自動作成がオンです(Auto Security Group Creation is On)」メッセージが [承認ポリシー(Authorization Policy)] ページの上部に表示されます。 自動で作成された SGT は、ルール属性に基づいて命名されます。SGT の名と値を編集するには、[権限(Permissions)] フィールドに表示されているプラス(+)記号をクリックします。
デフォルトでは、新たにインストールまたはアップグレードすると、このオプションはディセーブルになります。 |
||
自動作成のSGT番号範囲(SGT Number Range For Auto-Creation) |
このチェックボックスをオンにして、自動作成される SGT に使用する番号の範囲を指定します。 自動作成される SGT に割り当てられた番号の範囲を使い切ると、Cisco ISE は 50 ずつ範囲を拡張し、この変更をユーザに通知します。 |
||
自動命名オプション(Automatic Naming Options) |
自動作成される SGT の命名規則を定義するには、このオプションを使用します。 [名前に含めるもの(Name Will Include)](必須):次のオプションのいずれかを選択します。 デフォルトでは、[ルール名(Rule name)] オプションが選択されています。 オプションで、SGT 名に以下を追加できます。
Cisco ISE は、選択内容に応じて、[サンプル名(Example Name)] フィールドにサンプルの SGT 名を表示します。 同じ名前の SGT がすでに存在する場合、ISE は SGT 名に「_x」を付け加えます。x は、1 から始まる最初の値です(この名前では使用されていません)。新しい名前が 32 文字より長い場合、Cisco ISE によって最初の 32 文字に切り捨てられます。 |
次の表に、[TrustSecマトリックスの設定(TrustSec Matrix Settings)] ページにある各フィールドの説明を示します。このページへのナビゲーション パスは、[ワークセンター(Work Centers)] > [TrustSec] > [設定(Settings)] > [TrustSecマトリックスの設定(TrustSec Matrix Settings)] です。
フィールド |
使用上のガイドライン |
||
---|---|---|---|
複数のSGACLを許可(Allow Multiple SGACLs) |
セル内で複数の SGACL を許可するには、このチェックボックスをオンにします。このオプションが選択されていない場合、Cisco ISE はセル 1 つあたり 1 つの SGACL のみを許可します。 デフォルトでは、新たにインストールすると、このオプションはディセーブルになります。 アップグレード後、Cisco ISE は出力セルをスキャンし、複数の SGACL が割り当てられたセルを少なくとも 1 つ特定した場合、管理者に複数の SGACL をセルに追加することを許可します。それ以外の場合は、セル 1 つあたり 1 つの SGACL のみを許可します。
|
||
モニタリングの許可(Allow Monitoring) |
マトリクス内のすべてのセルのモニタリングをイネーブルにする場合は、このチェックボックスをオンにします。モニタリングがディセーブルの場合、[セルの編集(Edit Cell)] ダイアログで、[すべてをモニタ(Monitor All)] アイコンはグレー表示され、[モニタ(Monitor)] オプションはディセーブルになります。 デフォルトでは、新たにインストールすると、モニタリングはディセーブルになります。
|
||
SGT番号の表示(Show SGT Numbers) |
マトリクス セルの SGT 値(10 進数および 16 進数の両方)を表示または非表示にするには、このオプションを使用します。 デフォルトでは、SGT 値はセルに表示されます。 |
||
アピアランス設定(Appearance Settings) |
次のオプションを使用できます。 |
||
色/パターン(Color/Pattern) |
マトリックスを読み取りやすくするために、セルの内容に基づいて、マトリックス セルに色とパターンを適用できます。 使用可能な表示タイプは、次のとおりです。
|
電子メール サーバ経由でゲストとスポンサーに SMS メッセージを送信するように設定するには、次の設定を使用します。
フィールド | 使用上のガイドライン |
---|---|
SMS ゲートウェイ プロバイダー ドメイン(SMS Gateway Provider Domain) |
プロバイダー ドメインと、ゲスト アカウントの携帯電話の番号を入力します。プロバイダーの SMS/MMS ゲートウェイにメッセージを送信するとき、前者が電子メール アドレスのホスト部として使用され、後者はユーザ部分として使用されます。 |
プロバイダー アカウント アドレス(Provider account address) |
(オプション) アカウント アドレスを入力します。これは、電子メールの送信元アドレス(通常、アカウント アドレス)として使用され、 グローバル設定を上書きします。 の [デフォルトの電子メール アドレス(Default Email Address)] |
SMTP API 宛先アドレス(SMTP API destination address) |
(オプション) Clickatell SMTP API などの、特定のアカウント受信者アドレスを必要とする SMTP SMS API を使用する場合は、SMTP API 宛先アドレスを入力します。 これは、電子メールの送信先アドレスとして使用され、メッセージ本文のテンプレートはゲスト アカウントの携帯電話の番号に置き換えられます。 |
SMTP API 本文テンプレート(SMTP API body template) |
(オプション) Clicketell SMTP API など、SMS の送信に特定の電子メール本文テンプレートを必要とする SMTP SMS API を使用する場合は、SMTP API 本文テンプレートを入力します。 サポートされる動的置換は $mobilenumber$、(形式 $YYYYMMDDHHHMISSmimi$ の)$timestamp$、および $message$ です。URL に固有識別子が必要な SMS ゲートウェイには $timestamp$$mobilenumber$ を使用できます。 |
フィールド | 使用上のガイドライン |
---|---|
URL |
API の URL を入力します。 このフィールドは、符号化された URL ではありません。ゲスト アカウントの携帯電話の番号は、URL に置き換えられます。サポートされる動的置換は $mobilenumber$ および $message$ です。 HTTP API で HTTPS を使用した場合、HTTPS を URL 文字列に含め、Cisco ISE にプロバイダーの信頼できる証明書をアップロードします。 を選択します。 |
データ(URL エンコード部分)(Data (Url encoded portion)) |
GET 要求または POST 要求のデータ(URL エンコード部分)を入力します。 このフィールドは、符号化された URL です。デフォルトの GET 方式を使用している場合、データが上で指定した URL に付加されます。 |
データ部分に HTTP POST 方式を使用(Use HTTP POST method for data portion) |
POST 方式を使用する場合は、このオプションをオンにします。 上で指定したデータは、POST 要求の内容として使用されます。 |
HTTP POST データ コンテンツ タイプ(HTTP POST data content type) |
POST 方式を使用する場合は、「plain/text」や「application/xml」などのコンテンツ タイプを指定します。 |
HTTPS ユーザ名(HTTPS Username) HTTPS パスワード(HTTPS Password) HTTPS ホスト名(HTTPS Host name) HTTPS ポート番号(HTTPS Port number) |
この情報を入力します。 |
これらの設定のためのナビゲーション パスは、
です。認証 VLAN URL リダイレクトのシミュレーションを有効にするために、これらの設定を使用して、DHCP、およびオプションの DNS を設定します。さまざまな ISE ノードに適用するために、複数のスコープを作成できます。1 つの ISE ノードに複数のスコープを適用する場合、同じネットワーク インターフェイスで設定する必要があります。
![]() (注) | プロファイリングのために、DHCP プローブを必要とすることがあります。ISE DHCP プローブは認証 VLAN DHCP サービスと同じ UDP ポート 67 を使用します。そのため、DHCP プローブは、異なるインターフェイスで設定される必要があるか、またはこの ISE ノードで無効にすることができます。DHCP プローブの詳細については、DHCP プローブを参照してください。 |
フィールド | 使用上のガイドライン |
---|---|
スコープ名 |
このスコープの目的を容易に記憶できる名前を入力します。 |
ステータス |
[有効(Enabled)] または [無効(Disabled)] を選択します。有効の場合、スコープは ISE ノードにのみ使用できます。 |
ISE ノード(ISE Node) |
DHCP/DNS サーバとして機能するように ISE ノードを適用します。ドロップダウン リストから、このスコープを使用する ISE ノードを選択します。認証 VLAN は ISE ノード/ネットワーク インターフェイスごとに設定され、2 つのインターフェイスまたは 2 つのノードが同じ VLAN を共有することはできません。 |
ネットワーク インターフェイス(Network Interface) |
選択した ISE ノードで利用可能なネットワーク インターフェイスは、選択した ISE ノードに基づいて動的にこのドロップダウン リストに表示されます。認証 VLAN は ISE ノード/ネットワーク インターフェイスごとに設定され、2 つのインターフェイスまたは 2 つのノードが同じ VLAN を共有することはできません。DHCP/DNS サーバがリスニングするインターフェイスを選択します。NAD の VLAN IP ヘルパーを設定することによって、複数の VLAN が 1 つのネットワーク インターフェイス カードに接続される可能性があります。IP ヘルパーの設定の詳細については、デバイス用のアドミニストレーション ガイドの指示を参照してください。 |
ドメイン名(Domain Name) |
このスコープで使用する DHCP サーバのドメイン名を入力します。 |
DHCP アドレス範囲 |
ネットワーク定義に基づいて、このスコープに使用可能な DHCP アドレスの範囲を選択します。 |
サブネット マスク(Subnet mask) |
ネットワーク定義に基づいて、このスコープに使用するネットワーク マスクを選択します。 |
ネットワーク ID(Network ID) |
入力した DHCP の属性に基づいて、Cisco ISE により自動的に決定されます。 |
除外アドレス範囲 |
ネットワーク定義に基づいて、このスコープに使用すべきでない DHCP アドレスの範囲を選択します。 |
デフォルト ゲートウェイ |
デフォルト ゲートウェイの IP アドレスを入力します。 |
DHCP リース期間 |
DHCP リース期間を定義します。 |
[DHCP オプション(DHCP options)] |
これはオプションのフィールドです。 DHCP オプションは、DHCP サーバが DHCP クライアントに渡すことができる追加の設定パラメータです。DHCP オプションにより、ネットワークにアクセスするため、または最終認証前にデバイスをブートストラップする手段として、オプション値に指定されている情報を必要とするデバイス(カメラ、アクセス ポイント、電話)がサポートされます。DHCP サーバは、DHCP 要求メッセージをクライアントから受信すると、(通常)DHCP ACK パケットをクライアントに送信することで応答します。この時点で、サーバは DHCP ACK パケットで設定されているすべてのオプションを転送します。 詳細については、次の表の後に続く「DHCP オプション」の項を参照してください。 |
外部 DNS サーバ |
すべての企業ネットワークにアクセスするための認証を受ける前に、ユーザが認証 VLAN 外の外部ドメインにアクセスできるようにする場合、外部 DNS 名を解決するために DNS サーバの IP アドレスを入力します。 |
外部ドメイン |
すべての企業ネットワークにアクセスするための認証を受ける前に、ユーザが特定のサイトにアクセスできるようにする場合、これらのフィールドにそれらのサイトのドメイン名を入力します。 |
ISE で DHCP サービスを設定すると、Auth VLAN に接続するクライアントに特定の DHCP オプションを割り当てることができます。定義する各範囲に複数の DHCP オプションを追加できます。
ドロップダウン リストで選択できるオプションは、RFC 2132 のものです。また、(RFC 2132 から)カスタマイズしたオプションを追加するには、ドロップダウン リストから [カスタム(Custom)] を選択し、オプション コードを入力します。
一般に、最もよく使用される DHCP オプションがいくつかあります。
一般的なオプションとしては、次のようなものがあります。
オプション 12(ホスト名):ノードの完全修飾ドメイン名の「ホスト名」部分を渡すために使用されます。たとえば mail.ise.com の「mail」です。
オプション 42(NTP サーバ):ネットワークで使用される NTP サーバを渡します。
オプション 66(TFTP サーバ):IP アドレスまたはホスト名を渡すために使用されます。このオプションは、ドロップダウンリストから選択できます。
オプション 82(DHCP リレー エージェント):サーバ側 DHCP リレー サーバ情報のその他のサブオプションを渡すために使用されます。
オプション値を定義するには、ドロップダウン リストからオプションを選択します。事前定義のオプションを選択すると、コードとタイプが自動的に取り込まれます。
次に例を示します。
ホスト名の設定:[オプション(Option)] から [カスタム(Custom)] を選択します。[コード(Code)] に 15 と入力します。[タイプ(Type)] が自動的に [テキスト(Text)] に更新されます。[値(Value)] にホスト名(mail.ise.com の「mail」など)を入力します。
TFTP サーバ名の設定:[オプション(Option)] から [TFTP サーバ名(TFTP Server Name)] を選択します。[コード(Code)] と [タイプ(Type)] がそれぞれ自動的に更新されます。[値(Value)] に TFTP サーバのホスト名を入力します。
![]() (注) | 一部の DHCP オプションは、ISE に対して自動的に定義されているため、手動で入力できません。たとえばオプション 15(ドメイン名)はカスタム オプションとして定義できません。これは、DHCP ドメイン名は、この画面で必須フィールドとして定義されており、上書きできないためです。 |
複数のオプションを入力するには、[アクション(Actions)] の下のプラス記号をクリックします。
次の表に、エンドポイントを作成し、エンドポイントにポリシーを割り当てるために使用できる [エンドポイント(Endpoints)] ページのフィールドを示します。このページへのナビゲーション パスは、 です。
[エンドポイント(Endpoints)] ページでエンドポイントを静的に作成する場合このチェックボックスをオンにすると、静的割り当てのステータスが static に設定されます。 |
|
(スタティック割り当てが選択されていない限り、デフォルトで無効)[ポリシー割り当て(Policy Assignment)] ドロップダウン リストから一致するエンドポイント ポリシーを選択します。 |
|
([スタティック グループ割り当て(Static Group Assignment)] が選択されていない限り、デフォルトで無効)エンドポイントを ID グループに静的に割り当てる場合、このチェックボックスをオンにします。 このチェックボックスをオンにした場合、プロファイリング サービスは、前に他のエンドポイント ID グループに動的に割り当てられたエンドポイントの次のエンドポイント ポリシーの評価時に、そのエンドポイント ID グループを変更しません。 このチェックボックスをオフにした場合、エンドポイント ID グループは、ポリシー設定に基づいて ISE プロファイラにより割り当てられたダイナミック グループです。[スタティック グループ割り当て(Static Group Assignment)] オプションを選択しない場合、エンドポイントは、エンドポイント ポリシーの次回評価時に一致する ID グループに自動的に割り当てられます。 |
|
エンドポイントを割り当てるエンドポイント ID グループを選択します。 エンドポイントを静的に作成する場合、またはエンドポイントのエンドポイント ポリシーの評価時に [一致する ID グループの作成(Create Matching Identity Group)] オプションを使用しない場合は、エンドポイントを ID グループに割り当てることができます。 |
次の表では、LDAP サーバからのエンドポイントのインポートに使用できる [LDAP からのインポート(Import from LDAP)] ページのフィールドについて説明します。このページへのナビゲーション パスは、 です。
LDAP サーバのポート番号を入力します。デフォルト ポート 389 を使用して LDAP サーバからインポートするか、デフォルト ポート 636 を使用して SSL を介して LDAP サーバからインポートできます。
|
|||
SSL を介して LDAP サーバからインポートするには、[セキュア接続を有効にする(Enable Secure Connection)] チェックボックスをオンにします。 |
|||
ドロップダウン矢印をクリックして、信頼できる CA 証明書を表示します。 ルート CA 証明書名は、LDAP サーバに接続する場合に必要となる信頼できる CA 証明書を指します。Cisco ISE 内の CA 証明書は、追加(インポート)、編集、削除、およびエクスポートが可能です。 |
|||
匿名バインドを有効にするには、[匿名バインド(Anonymous Bind)] チェックボックスをオンにします。 [匿名バインド(Anonymous Bind)] チェックボックスをオンにするか、または slapd.conf コンフィギュレーション ファイルの LDAP 管理者クレデンシャルを入力する必要があります。 |
|||
LDAP 属性の名前を入力します。この属性は、LDAP サーバで定義されている各エンドポイント エントリのポリシー名を保持します。 [プロファイル属性名(Profile Attribute Name)] フィールドを設定する場合は、次の点を考慮してください。
|
|||
次の表に、エンドポイント グループを作成するために使用できる [エンドポイント ID グループ(Endpoint Identity Groups)] ページのフィールドを示します。このページへのナビゲーション パスは、[管理(Administration)] > [ID の管理(Identity Management)] > [グループ(Groups)] > [エンドポイント ID グループ(Endpoint Identity Groups)] です。
新しく作成したエンドポイント ID グループを関連付けるエンドポイント ID グループを、[親グループ(Parent Group)] ドロップダウン リストから選択します。 |
これらのページでは、Cisco ISE が認証および認可に使用するユーザ データが含まれる外部 ID ソースを設定および管理することができます。
次の表では、[LDAP ID ソース(LDAP Identity Sources)] ページのフィールドについて説明します。これらのフィールドを使用して LDAP インスタンスを作成し、これに接続します。このページへのナビゲーション パスは、 です。
以下の表では、[一般(General)] タブのフィールドについて説明します。
LDAP インスタンスの名前を入力します。この値は、サブジェクト DN および属性を取得するために検索で使用されます。この値は string 型で、最大長は 64 文字です。 |
|||
|
|||
サブジェクト DN および属性を取得するために検索で使用する値を入力します。この値は string 型で、最大長は 256 文字です。 |
|||
グループ名属性(Group Name Attribute) |
[グループ名属性(Group Name Attribute)] フィールドに CN または DN またはサポートされる属性を入力します。 |
||
証明書定義を含む属性を入力します。証明書ベースの認証の場合、クライアントによって提示された証明書を検証するために、これらの定義が使用されます。 |
|||
グループとして認識されるオブジェクトを指定するために、検索に使用する値を入力します。この値は string 型で、最大長は 256 文字です。 |
|||
サブジェクト オブジェクトにグループへの参照が含まれる(Subject Objects Contain Reference To Groups) |
所属するグループを指定する属性がサブジェクト オブジェクトに含まれている場合は、このオプション ボタンをクリックします。 |
||
グループ オブジェクトにサブジェクトへの参照が含まれる(Group Objects Contain Reference To Subjects) |
サブジェクトを指定する属性がグループ オブジェクトに含まれている場合は、このオプション ボタンをクリックします。この値はデフォルト値です。 |
||
グループ内のサブジェクトをメンバー属性に保存(Subjects In Groups Are Stored In Member Attribute As) |
([グループ オブジェクトにサブジェクトへの参照が含まれる(Group Objects Contain Reference To Subjects)] オプション ボタンの選択時に限り使用可能)グループ メンバー属性にメンバーが供給される方法を指定します(デフォルトは DN)。 |
||
ユーザ情報属性(User Info Attributes) |
デフォルトでは、事前設定された属性が次の組み込みのスキーマ タイプのユーザ情報(名、姓、電子メール、電話、地域など)を収集するために使用されます。 事前定義されたスキーマの属性を編集すると、Cisco ISE が自動的にカスタム スキーマを作成します。 [スキーマ(Schema)] ドロップダウン リストから [カスタム(Custom)] オプションを選択し、要件に基づいてユーザ情報の属性を編集することもできます。 |
以下の表では、[接続設定(Connection Settings)] タブのフィールドについて説明します。
プライマリ LDAP サーバに障害が発生した場合にバックアップとして使用するセカンダリ LDAP サーバを有効にする場合は、このオプションをオンにします。このチェックボックスをオンにする場合は、セカンダリ LDAP サーバの設定パラメータを入力する必要があります。 |
|
LDAP ソフトウェアを実行しているマシンの IP アドレスまたは DNS 名を入力します。ホスト名は 1 ~ 256 文字か、または文字列として表される有効な IP アドレスです。ホスト名の有効な文字は、英数字(a ~ z、A ~ Z、0 ~ 9)、ドット(.)、およびハイフン(-)だけです。 |
|
LDAP サーバがリッスンしている TCP/IP ポート番号を入力します。有効な値は 1 ~ 65,535 です。デフォルトは、LDAP 仕様の記述に従って 389 です。ポート番号が不明な場合は、LDAP サーバの管理者からポート番号を取得できます。 |
|
各 ISE ノードのサーバの指定(Specify server for each ISE node) |
プライマリおよびセカンダリ LDAP サーバの hostnames/IP および各 PSN のポートを設定するには、このチェック ボックスをオンにします。 このオプションを有効にすると、導入のすべてのノードを表示するテーブルが表示されます。ノードを選択し、プライマリおよびセカンダリ LDAP サーバの hostname/IP および選択したノードのポートを設定する必要があります。 |
[匿名アクセス(Anonymous Access)]:LDAP ディレクトリの検索が匿名で行われるようにする場合にクリックします。サーバではクライアントが区別されず、認証されていないクライアントに対してアクセス可能に設定されているデータへの、クライアント読み取りアクセスが許可されます。認証情報をサーバに送信することを許可する特定のポリシーがない場合、クライアントは匿名接続を使用する必要があります。 [認証されたアクセス(Authenticated Access)]:LDAP ディレクトリの検索が管理クレデンシャルによって行われるようにする場合にクリックします。その場合、[管理者 DN(Admin DN)] および [パスワード(Password)] フィールドの情報を入力します。 |
|
管理者の DN を入力します。管理者 DN は、[ユーザ ディレクトリ サブツリー(User Directory Subtree)] 下のすべての必要なユーザの検索およびグループの検索を行う権限を持つ LDAP アカウントです。指定した管理者に対して、検索でのグループ名属性の表示が許可されていない場合、該当 LDAP サーバで認証されたユーザのグループ マッピングは失敗します。 |
|
SSL を使用して Cisco ISE とプライマリ LDAP サーバ間の通信を暗号化する場合にクリックします。[ポート(Port)] フィールドに LDAP サーバでの SSL に使用されるポート番号が入力されていることを確認します。このオプションを有効にした場合は、ルート CA を選択する必要があります。 |
|
プライマリ LDAP サーバでの接続または認証が失敗したと判断する前に Cisco ISE がプライマリ LDAP サーバからの応答を待つ秒数を入力します。有効な値は 1 ~ 99 です。デフォルトは 10 です。 |
|
特定の LDAP 設定に対して実行できる LDAP 管理者アカウント権限での同時接続の最大数(0 より大きい数)を入力します。これらの接続は、ユーザ ディレクトリ サブツリーおよびグループ ディレクトリ サブツリーの下にあるユーザおよびグループのディレクトリの検索に使用されます。有効な値は 1 ~ 99 です。デフォルトは 20 です。 |
|
N 秒ごとに再接続(Force reconnect every N seconds) |
このチェック ボックスをオンにし、2 つ目のテキスト ボックスに、サーバを指定された間隔で LDAP 接続を更新するための適切な値を入力します。有効な範囲は 1 ~ 60 分です。 |
LDAP サーバの詳細およびクレデンシャルが正常にバインドできることをテストおよび確認する場合にクリックします。テストが失敗した場合は、LDAP サーバの詳細を編集して再テストします。 |
|
フェールオーバー |
|
常にプライマリ サーバに最初にアクセスする(Always Access Primary Server First) |
Cisco ISE の認証と認可のために常にプライマリ LDAP サーバに最初にアクセスするように設定するには、このオプションをクリックします。 |
経過後にプライマリ サーバにフェールバック(Failback to Primary Server After) |
Cisco ISE で接続しようとしたプライマリ LDAP サーバが到達不可能な場合、Cisco ISE はセカンダリ LDAP サーバへの接続を試行します。Cisco ISE に再びプライマリ LDAP サーバを使用するように設定するには、このオプションをクリックし、テキスト ボックスに値を入力します。 |
次の表では、[ディレクトリ構成(Directory Organization)] タブのフィールドについて説明します。
すべてのサブジェクトを含むサブツリーの DN を入力します。次に例を示します。 |
|||
すべてのグループを含むサブツリーの DN を入力します。次に例を示します。 ou = 組織ユニット、ou = 次の組織ユニット、o = corporation.com |
|||
LDAP データベースでの検索に使用する、Cisco ISE の MAC アドレス形式を入力します。内部 ID ソースの MAC アドレスは、xx-xx-xx-xx-xx-xx の形式で供給されます。LDAP データベースの MAC アドレスは、異なる形式で供給できます。ただし、Cisco ISE でホスト ルックアップ要求が受信されると、MAC アドレスは内部形式からこのフィールドで指定した形式に変換されます。 ドロップダウン リストを使用して、特定の形式での MAC アドレスの検索を有効にします。<format> は次のいずれかです。 |
|||
サブジェクト名の先頭から最後に出現する区切り文字まで削除(Strip start of subject name up to the last occurrence of the separator) |
ユーザ名からドメインプレフィックスを削除するための適切なテキストを入力します。 ユーザ名の中で、このフィールドに指定した区切り文字が Cisco ISE で検出されると、そのユーザ名の初めから区切り文字までのすべての文字が削除されます。ユーザ名に、<start_string> ボックスに指定した文字が複数含まれている場合は、Cisco ISE によって最後の区切り文字までの文字が削除されます。たとえば、区切り文字がバックスラッシュ(\)で、ユーザ名が DOMAIN\user1 である場合、Cisco ISE によって user1 が LDAP サーバに送信されます。
|
||
最初に出現する区切り文字からサブジェクト名の末尾まで削除(Strip end of subject name from the first occurrence of the separator) |
ユーザ名からドメイン サフィックスを削除するための適切なテキストを入力します。 ユーザ名の中で、このフィールドに指定した区切り文字が Cisco ISE で検出されると、その区切り文字からユーザ名の末尾までのすべての文字が削除されます。ユーザ名に、このフィールドに指定した文字が複数含まれている場合は、Cisco ISE によって最初の区切り文字から文字が削除されます。たとえば、区切り文字が@で、ユーザ名が user1@domain であれば、Cisco ISE は user1 を LDAP サーバに送信します。
|
フィールド |
使用上のガイドライン |
---|---|
追加(Add) |
[追加(Add)] > [グループの追加(Add Group)] を選択して新しいグループを追加するか、[追加(Add)] > [ディレクトリからグループを選択(Select Groups From Directory)] を選択して LDAP ディレクトリからグループを選択します。 グループの追加を選択した場合は、新しいグループの名前を入力します。ディレクトリから選択する場合は、フィルタ基準を入力し、[グループの取得(Retrieve Groups)] をクリックします。選択するグループの隣にあるチェックボックスをオンにし、[OK] をクリックします。選択したグループが [グループ(Groups)] ページに表示されます。 |
フィールド |
使用上のガイドライン |
---|---|
追加(Add) |
[追加(Add)] > [属性の追加(Add Attribute)] を選択して新しい属性を追加するか、[追加(Add)] > [ディレクトリから属性を選択(Select Attributes From Directory)] を選択して LDAP サーバから属性を選択します。 属性を追加する場合は、新しい属性の名前を入力します。ディレクトリから選択する場合は、ユーザ名を入力し、[属性の取得(Retrieve Attributes)] をクリックしてユーザの属性を取得します。選択する属性の隣にあるチェック ボックスをオンにし、[OK] をクリックします。 |
以下の表では、[詳細設定(Advanced Settings)] タブのフィールドについて説明します。
フィールド |
使用上のガイドライン |
---|---|
[パスワードの変更を有効にする(Enable password change)] |
デバイス管理に PAP プロトコルを使用し、ネットワーク アクセスに RADIUS EAP-GTC プロトコルを使用している場合に、パスワードが期限切れになるか、またはパスワードがリセットされるときに、ユーザがパスワードを変更できるようにするには、このチェック ボックスをオンにします。サポートされていないプロトコルでは、ユーザ認証が失敗します。このオプションでは、ユーザが次回のログイン時にパスワードを変更できるようにすることもできます。 |
フィールド | 使用上のガイドライン |
---|---|
[名前(Name)] |
RADIUS トークン サーバの名前を入力します。許容最大文字数は 64 文字です。 |
説明 |
RADIUS トークン サーバの説明を入力します。最大文字数は 1024 です。 |
SafeWord サーバ(SafeWord Server) |
RADIUS ID ソースが SafeWord サーバである場合はこのチェックボックスをオンにします。 |
セカンダリ サーバの有効化(Enable Secondary Server) |
プライマリに障害が発生した場合にバックアップとして使用する Cisco ISE のセカンダリ RADIUS トークン サーバを有効にするには、このチェックボックスをオンにします。このチェックボックスをオンにする場合は、セカンダリ RADIUS トークン サーバを設定する必要があります。 |
常にプライマリ サーバに最初にアクセスする(Always Access Primary Server First) |
Cisco ISE が常にプライマリ サーバに最初にアクセスするには、このオプション ボタンをクリックします。 |
経過後にプライマリ サーバにフォールバック(Fallback to Primary Server after) |
プライマリ サーバに到達できない場合に Cisco ISE がセカンダリ RADIUS トークン サーバを使用して認証できる時間(分単位)を指定するには、このオプション ボタンをクリックします。この時間を過ぎると、Cisco ISE はプライマリ サーバに対する認証を再試行します。 |
プライマリ サーバ(Primary Server) | |
ホスト名/アドレス(Host IP) |
プライマリ RADIUS トークン サーバの IP アドレスを入力します。このフィールドには、文字列として表される有効な IP アドレスを入力できます。このフィールドで使用できる文字は、数字とドット(.)です。 |
共有秘密鍵(Shared Secret) |
この接続のプライマリ RADIUS トークン サーバで設定されている共有秘密を入力します。 |
認証ポート(Authentication Port) |
プライマリ RADIUS トークン サーバが受信しているポート番号を入力します。有効な値は 1 ~ 65,535 です。デフォルトは 1812 です。 |
サーバ タイムアウト(Server timeout) |
プライマリ サーバがダウンしていると判断する前に Cisco ISE がプライマリ RADIUS トークン サーバからの応答を待つ時間(秒単位)を指定します。有効な値は 1 ~ 300 です。デフォルトは 5 です。 |
接続試行回数(Connection Attempts) |
セカンダリ サーバ(定義されている場合)に移動する前、またはセカンダリ サーバが定義されていない場合は要求をドロップする前に、Cisco ISE がプライマリ サーバへの再接続を試行する回数を指定します。有効な値は 1 ~ 9 です。デフォルトは 3 です。 |
セカンダリ サーバ(Secondary Server) | |
ホスト名/アドレス(Host IP) |
セカンダリ RADIUS トークン サーバの IP アドレスを入力します。このフィールドには、文字列として表される有効な IP アドレスを入力できます。このフィールドで使用できる文字は、数字とドット(.)です。 |
共有秘密鍵(Shared Secret) |
この接続のセカンダリ RADIUS トークン サーバで設定されている共有秘密を入力します。 |
認証ポート(Authentication Port) |
セカンダリ RADIUS トークン サーバが受信しているポート番号を入力します。有効な値は 1 ~ 65,535 です。デフォルトは 1812 です。 |
サーバ タイムアウト(Server timeout) |
セカンダリ サーバがダウンしていると判断する前に Cisco ISE がセカンダリ RADIUS トークン サーバからの応答を待つ時間(秒単位)を指定します。有効な値は 1 ~ 300 です。デフォルトは 5 です。 |
接続試行回数(Connection Attempts) |
要求をドロップする前に Cisco ISE がセカンダリ サーバへの再接続を試行する回数を指定します。有効な値は 1 ~ 9 です。デフォルトは 3 です。 |
次の表では、[RSA プロンプト(RSA Prompts)] タブ内のフィールドについて説明します。
次の表では、[RSA メッセージ(RSA Messages)] タブ内のフィールドについて説明します。
ユーザが指定した PIN が、PIN 長ポリシーで指定されている範囲に収まらない場合に表示されるメッセージを入力します。 |
ID の管理の設定
次の表に、ユーザ パスワード用の基準の定義と、管理者およびネットワーク アクセス ユーザ アカウントの無効化のために使用できる、[ユーザ認証設定(User Authentication Settings)] ページのフィールドについて説明します。このページへのナビゲーション パスは、 です。
同じパスワードが繰り返し使用されるのを防ぐために、パスワードと異なっている必要がある前のバージョンの数を入力します。 また、以前のパスワードと異なる必要がある文字数を入力できます。 ユーザがパスワードを再使用できない日数を入力します。 |
|
ログイン試行の不正なアカウントをロックまたは一時停止する(Lock or Suspend Account with Incorrect Login Attempts) |
Cisco ISE が、管理者を Cisco ISE からロックアウトし、アカウント クレデンシャルを一時停止または無効にするまでに、誤った管理者パスワードを記録する回数を指定します。 |
ユーザの認証またはクエリ中に、Cisco ISE はグローバル アカウント無効化ポリシー設定([管理(Administration)] > [ID の管理(Identity Management)] > [設定(Settings)] > [ユーザ認証設定(User Authentication Settings)])を確認します。
指定した日付(yyyy-mm-dd)を超えているユーザ アカウントを無効にします。ただし、特定のネットワーク アクセス ユーザ用のアカウント無効化ポリシー設定([管理(Administration)] > [ID の管理(Identity Management)] > [ID(Identities)] > [ユーザ(Users)] > [アカウント無効化ポリシー(Account Disable Policy)])はグローバル設定よりも優先されます。
ユーザ アカウントが作成されてから、またはユーザが最後に有効にされた日付から([管理(Administration)] > [ID の管理(Identity Management)] > [ID(Identities)] > [ユーザ(Users)] > [ステータス(Status)])、指定された日数を超えたユーザ アカウントを無効にします。
連続する日数の間認証されていない管理者およびユーザ アカウントを無効にします。
Cisco Secure ACS でネットワーク アクセス ユーザに指定されているアカウント無効化ポリシー設定が Cisco ISE に移行されます。
ネットワーク リソース
次の表では、Cisco ISE のネットワーク アクセス デバイスを設定するために使用できる [ネットワーク デバイス(Network Devices)] ページのフィールドについて説明します。このページへのナビゲーション パスは、 です。
次の表に、[ネットワーク デバイス(Network Device)] セクションのフィールドを示します。
ネットワーク デバイスに、デバイスのホスト名とは異なるわかりやすい名前を指定できます。デバイス名は論理識別子です。
|
|||
IP アドレス/IP 範囲(IP Address/IP Ranges) |
次のいずれかを実行します。
IP アドレスとサブネット マスクまたは IP アドレス範囲を定義するときに従う必要があるガイドラインを次に示します。
|
||
デバイスタイプ(Device Type) |
ドロップダウン リストをクリックして、ネットワーク デバイスのベンダーを選択します。 ドロップダウン リストの横にあるツールのヒントを使用して、選択したベンダーのネットワーク デバイスがサポートしているフローおよびサービスと、デバイスで使用されている RADIUS CoA ポートと URL リダイレクトのタイプを表示できます。これらの属性は、デバイス タイプのネットワーク デバイス プロファイルで定義されます。 |
||
ドロップダウン リストをクリックして、デバイス モデルなどを選択します。 モデル名は、ルールベースのポリシーの条件をチェックするときに、パラメータの 1 つとして使用できます。この属性は、デバイス ディクショナリにあります。 |
|||
ドロップダウン リストをクリックして、ネットワーク デバイスで実行するソフトウェアのバージョンを選択します。 ソフトウェア バージョンは、ルールベースのポリシーの条件をチェックするときに、パラメータの 1 つとして使用できます。この属性は、デバイス ディクショナリにあります。 |
|||
[ロケーション(Location)] および [デバイス タイプ(Device Type)] ドロップダウン リストをクリックし、ネットワーク デバイスに関連付けることができるロケーションとデバイス タイプを選択します。 グループを設定するときに、明確にデバイスをグループに割り当てないと、そのデバイスはデフォルトのデバイス グループ(ルート NDG)に含まれます。これにより、ロケーションはすべてのロケーション、デバイス タイプはすべてのデバイス タイプとなり、デフォルトのデバイス グループ(ルート NDG)が割り当てられます。たとえば、すべてのロケーションとすべてのデバイス グループなどです。 |
次の表では、[RADIUS 認証設定(RADIUS Authentication Settings)] セクションのフィールドについて説明します。
フィールド |
使用上のガイドライン |
||
---|---|---|---|
RADIUS UDP の設定 |
|||
プロトコル |
選択したプロトコルとして RADIUS を表示します。 |
||
共有秘密鍵(Shared Secret) |
ネットワーク デバイスの共有秘密鍵を入力します。 共有秘密鍵は、pac オプションを指定した radius-host コマンドを使用してネットワーク デバイスに設定したキーです。
|
||
CoA ポート(CoA Port) |
RADIUS CoA に使用するポートを指定します。 デバイスのデフォルトの CoA ポートはネットワーク デバイス プロファイルで定義されます。
|
||
RADIUS DTLS の設定 |
|||
必要な DTLS |
このオプションを有効にすると、Cisco ISE ではこのデバイスからの DTLS 要求だけが処理されます。このオプションを無効にすると、Cisco ISE ではこのデバイスからの UDP 要求と DTLS 要求の両方が処理されます。 RADIUS DTLS は SSL トンネルの確立および RADIUS の通信用に強化されたセキュリティを提供します。 |
||
共有秘密鍵(Shared Secret) |
RADIUS DTLS に使用される共有秘密鍵が表示されます。この値は固定されており、MD5 整合性チェックを計算するために使用されます。 |
||
CoA ポート(CoA Port) |
RADIUS DTLS CoA に使用するポートを指定します。 |
||
CoA の ISE 証明書の発行元 CA |
ドロップダウン リストから RADIUS DTLS CoA に使用する認証局を選択します。 |
||
DNS 名 |
ネットワーク デバイスの DNS 名を入力します。[RADIUS/DTLS クライアント ID 検証の有効化(Enable RADIUS/DTLS Client Identity Verification)] オプションが RADIUS 設定で有効になっている場合、Cisco ISE はこの DNS 名とクライアント証明書で指定されている DNS 名を比較して、ネットワーク デバイスの ID を確認します。 |
||
全般設定 |
|||
KeyWrap の有効化(Enable KeyWrap) |
ネットワーク デバイスでサポートされる場合にのみ、このチェックボックスをオンにします。これにより、AES KeyWrap アルゴリズムによって RADIUS のセキュリティが強化されます。
|
||
キー暗号キー(Key Encryption Key) |
(KeyWrap を有効にしている場合だけ表示されます)セッション暗号化(秘密)に使用される暗号キーを入力します。 |
||
メッセージ オーセンティケータ コード キー(Message Authenticator Code Key) |
(KeyWrap を有効にしている場合だけ表示されます)RADIUS メッセージのキー付き Hashed Message Authentication Code(HMAC)の計算に使用されるキーを入力します。 |
||
キー入力形式(Key Input Format) |
次の形式のいずれか 1 つを選択します。
Cisco ISE FIPS 暗号キーの入力に使用するキー入力形式を指定します。これは、WLC の設定と一致する必要があります(指定する値はキーの正しい(全体の)長さにする必要があり、それよりも短い値は許可されません)。 |
次の表では、ネットワーク デバイスの TACACS+ 認証を設定するために使用できる [ネットワークデバイス(Network Devices)] ページのフィールドについて説明します。ナビゲーション パスは次のとおりです。
(ネットワーク デバイスの場合)
。(デフォルトのデバイスの場合)デフォルトのネットワーク デバイス定義」の項を参照してください。
。詳細については、「
フィールド |
使用上のガイドライン |
---|---|
共有秘密鍵(Shared Secret) |
TACACS+ プロトコルがイネーブルのときにネットワーク デバイスに割り当てられたテキストの文字列。ユーザは、ネットワーク デバイスによってユーザ名およびパスワードが認証される前にテキストを入力する必要があります。ユーザが共有秘密情報を提示するまで、接続は拒否されます。これは必須フィールドではありません。 |
廃止された共有秘密がアクティブです(Retired Shared Secret is Active) |
リタイアメント期間がアクティブな場合に表示されます。 |
廃止(Retire) |
既存の共有秘密を終了する代わりに廃止します。[廃止(Retire)] をクリックすると、メッセージ ボックスが表示されます。[はい(Yes)] または [いいえ(No)] をクリックできます。 |
残りの廃止期間(Remaining Retired Period) |
(上のメッセージ ボックスで [はい(Yes)] を選択した場合にのみ利用可能)次のナビゲーション パスで指定されたデフォルト値が表示されます。 。デフォルト値は変更することができます。これにより、新しい共有秘密を入力でき、古い共有秘密は指定された日数にわたってアクティブなままになります。 |
終了(End) |
(上のメッセージ ボックスで [はい(Yes)] を選択した場合にのみ利用可能)リタイアメント期間が終了し、古い共有秘密が終了します。 |
シングル接続モードを有効にする(Enable Single Connect Mode) |
ネットワーク デバイスとのすべての TACACS+ 通信に単一の TCP 接続を使用する場合にオンにします。次のいずれかを実行します。 |
次の表では、[SNMP 設定(SNMP Settings)] セクションのフィールドについて説明します。
[バージョン(Version)] ドロップダウン リストから要求に使用される SNMP のバージョンを選択します。
|
|||
(SNMP バージョン 1 および 2c で選択された場合のみ)Cisco ISE にデバイスへの特定タイプのアクセスを提供する読み取り専用コミュニティ ストリングを入力します。 |
|||
(SNMP バージョン 3 でセキュリティ レベル Auth および Priv を選択した場合のみ)ネットワーク デバイスで使用する認証プロトコルを選択します。 |
|||
(SNMP バージョン 3 でセキュリティ レベル Auth および Priv を選択した場合のみ)認証キーを入力します。このキーは 8 文字以上の長さにする必要があります。 |
|||
(SNMP バージョン 3 でセキュリティ レベル Priv を選択した場合のみ)ネットワーク デバイスで使用するプライバシー プロトコルを選択します。 |
|||
SNMP トラップを介して受信する linkup 通知と linkdown 通知を受信して解釈するには、このチェックボックスをオンにします。 |
|||
SNMP データのポーリングに使用される ISE サーバを示します。デフォルトでは自動ですが、別の値を割り当てて設定を上書きできます。 |
次の表では、[高度な TrustSec 設定(Advanced TrustSec Settings)] セクションのフィールドについて説明します。
TrustSec ID にデバイス ID を使用(Use Device ID for TrustSec Identification) |
デバイス名をデバイス ID として [デバイス ID(Device ID)] フィールドにリストする場合は、このチェックボックスをオンにします。 このチェックボックスをオンにした場合、デバイス名が [デバイス ID(Device Id)] フィールドに表示されます。また、このデバイス ID は、任意の説明的な名前に変更できます。 |
([TrustSec ID にデバイス ID を使用(Use Device ID for TrustSec Identification)] チェックボックスがオフの場合のみ)。このフィールドに入力されたデバイス名を論理識別子として使用できます。 |
|
TrustSec デバイスを認証するためのパスワードを入力します(TrustSec デバイスのコマンドライン インターフェイス(CLI)で設定したパスワードと同じ)。 |
|
Cisco ISE から TrustSec デバイス環境情報をダウンロードする時間間隔を秒、分、時間、週、または日単位で設定できるようにする有効期限を指定します。 たとえば、秒単位で 60 を入力すると、デバイスは Cisco ISE から環境データを毎分ダウンロードします。デフォルト値は 86,400 秒または 1 日です。値の範囲は 1 ~ 24850 です。 |
|
Cisco ISE からピア許可ポリシーをダウンロードする時間間隔を秒、分、時間、週、または日単位で設定できる有効期限を指定します。 たとえば、60 秒を入力すると、デバイスは 1 分ごとに Cisco ISE からそのピア許可ポリシーをダウンロードします。デフォルト値は 86,400 秒または 1 日です。値の範囲は 1 ~ 24850 です。 |
|
再認証の秒、分、時間、週、または日単位の時間間隔を設定できる 802.1X 再認証期間を指定します。 TrustSec ソリューションを使用して設定されたネットワークでは、TrustSec デバイスは初期認証後に Cisco ISE に対して自分自身の再認証を行います。 たとえば、1000 秒を入力すると、デバイスは 1000 秒ごとに Cisco ISE に対して自身を認証します。デフォルト値は 86,400 秒または 1 日です。値の範囲は 1 ~ 24850 です。 |
|
Cisco ISE から SGACL をダウンロードする時間間隔を秒、分、時間、週、または日単位で設定できる有効期間を指定します。 たとえば、3600 秒を入力すると、ネットワーク デバイスは 3600 秒ごとに Cisco ISE から SGACL のリストを取得します。デフォルト値は 86,400 秒または 1 日です。値の範囲は 1 ~ 24850 です。 |
|
その他の TrustSec デバイスでこのデバイスを信頼する(信頼できる TrustSec)(Other TrustSec Devices to Trust This Device (TrustSec Trusted)) |
すべてのピア デバイスでこの TrustSec デバイスを信頼する場合は、このチェックボックスをオンにします。このチェックボックスをオフにした場合、ピア デバイスはこのデバイスを信頼せず、このデバイスから到着したすべてのパケットが適宜色付けされるかまたはタグ付けされます。 |
TrustSec 設定の変更についてこのデバイスに通知する(Notify this device about TrustSec configuration changes) |
Cisco ISE でこの TrustSec デバイスに TrustSec CoA 通知を送信する場合は、このチェックボックスをオンにします。 |
セキュリティ グループ タグ マッピングの展開時にこのデバイスを含める(Include this device when deploying Security Group Tag Mapping Updates) |
この TrustSec デバイスで、デバイス インターフェイス クレデンシャルを使用して IP と SGT とのマッピングを取得する場合は、このチェックボックスをオンにします。 |
設定を編集できるデバイスの EXEC モード パスワードを有効にするためのパスワードを入力します。 このデバイスにすでに設定されている EXEC モード パスワードを表示するには、[表示(Show)] をクリックします。 |
|
アウトオブバンド(OOB)TrustSec PAC(Out Of Band (OOB) Trustsec PAC)の表示 |
|
この TrustSec デバイス用に Cisco ISE によって生成された最後の TrustSec PAC の発行日を表示します。 |
|
この TrustSec デバイス用に Cisco ISE によって生成された最後の TrustSec PAC の有効期限を表示します。 |
|
このデバイス用に Cisco ISE によって生成された最後の TrustSec PAC の発行者(TrustSec 管理者)の名前を表示します。 |
|
TrustSec Protected Access Credentials(PAC)を作成するには、[PAC の生成(Generate PAC)] をクリックします。 デフォルトでは、アウトオブバンド TrustSec Protected Access Credentials(PAC)情報は空ですが、入力されている場合は無効と表示されます。TrustSec PAC 情報は、TrustSec 対応デバイスの TrustSec PAC を生成するときに自動的に入力できます。 |
|
|||
デバイス プロファイル |
デフォルトのデバイス ベンダーとしてシスコを表示します。 |
||
RADIUS 認証設定 |
|||
RADIUS UDP の設定 |
|||
共有秘密を入力します。共有秘密情報の長さは、最大 127 文字です。 共有秘密鍵は、pac オプションを指定した radius-host コマンドを使用してネットワーク デバイスに設定したキーです。
|
|||
RADIUS DTLS の設定 |
|||
必要な DTLS |
このオプションを有効にすると、Cisco ISE ではこのデバイスからの DTLS 要求だけが処理されます。このオプションを無効にすると、Cisco ISE ではこのデバイスからの UDP 要求と DTLS 要求の両方が処理されます。 RADIUS DTLS は SSL トンネルの確立および RADIUS の通信用に強化されたセキュリティを提供します。 |
||
共有秘密鍵(Shared Secret) |
RADIUS DTLS に使用される共有秘密鍵が表示されます。この値は固定されており、MD5 整合性チェックを計算するために使用されます。 |
||
CoA の ISE 証明書の発行元 CA |
ドロップダウン リストから RADIUS DTLS CoA に使用する認証局を選択します。 |
||
全般設定 |
|||
ネットワーク デバイスでサポートされる場合にのみ、このチェックボックスをオンにします。これにより、AES KeyWrap アルゴリズムによって RADIUS のセキュリティが強化されます。 FIPS モードで Cisco ISE を実行する場合は、ネットワーク デバイス上で KeyWrap を有効にする必要があります。 |
|||
KeyWrap を有効にしているときに、RADIUS メッセージに対するキー付き Hashed Message Authentication Code(HMAC)の計算に使用されるキーを入力します。 |
|||
Cisco ISE FIPS 暗号キーの入力に使用するキー入力形式を指定します。これは、WLC の設定と一致する必要があります(指定する値はキーの正しい(全体の)長さにする必要があり、それよりも短い値は許可されません)。 |
|||
TACACS 認証設定 |
|||
TACACS+ プロトコルがイネーブルのときにネットワーク デバイスに割り当てられたテキストの文字列。ユーザは、ネットワーク デバイスによってユーザ名およびパスワードが認証される前にテキストを入力する必要があります。ユーザが共有秘密情報を提示するまで、接続は拒否されます。 |
|||
廃止された共有秘密がアクティブです(Retired Shared Secret is Active) |
リタイアメント期間がアクティブな場合に表示されます。 |
||
廃止(Retire) |
既存の共有秘密を終了する代わりに廃止します。[廃止(Retire)] をクリックすると、メッセージ ボックスが表示されます。[はい(Yes)] または [いいえ(No)] をクリックできます。 |
||
残りの廃止期間(Remaining Retired Period) |
(上のメッセージ ボックスで [はい(Yes)] を選択した場合にのみ利用可能)次のナビゲーション パスで指定されたデフォルト値が表示されます。 。デフォルト値は変更することができます。これにより、新しい共有秘密を入力でき、古い共有秘密は指定された日数にわたってアクティブなままになります。 |
||
終了(End) |
(上のメッセージ ボックスで [はい(Yes)] を選択した場合にのみ利用可能)リタイアメント期間が終了し、古い共有秘密が終了します。 |
||
ネットワーク デバイスとのすべての TACACS+ 通信に単一の TCP 接続を使用する場合にオンにします。次のいずれかを実行します。 |
RADIUS 共有秘密の最小長を指定します。新規インストールとアップグレードした展開の場合、デフォルトではこの値は 4 文字になります。RADIUS サーバでのベスト プラクティスは、22 文字にすることです。
![]() (注) | [ネットワーク デバイス(Network Devices)] ページに入力した共有秘密の長さは、[デバイス セキュリティ設定(Device Security Settings)] ページの [RADIUS 共有秘密の最小長(Minimum RADIUS Shared Secret Length)] フィールドで設定した値以上でなければなりません。 |
次の表では、ネットワーク デバイスの詳細を Cisco ISE にインポートするために使用する [ネットワーク デバイス インポート(Network Device Import)] ページのフィールドについて説明します。このページへのナビゲーション パスは、 です。
カンマ区切り形式(.csv)テンプレート ファイルを作成するには、このリンクをクリックします。 同じ形式のネットワーク デバイス情報でテンプレートを更新し、それらのネットワーク デバイスを Cisco ISE 展開にインポートするためにローカルで保存します。 |
|
作成したか、または Cisco ISE 展開から以前にエクスポートしたカンマ区切り形式ファイルの場所を参照するには、[参照(Browse)] をクリックします。 インポートを使用して、新しい、更新されたネットワーク デバイス情報を含むネットワーク デバイスを別の Cisco ISE 展開にインポートできます。 |
|
Cisco ISE で既存のネットワーク デバイスをインポート ファイル内のデバイスに置き換える場合は、このチェックボックスをオンにします。 このチェックボックスをオンにしない場合、インポート ファイル内の新しいネットワーク デバイス定義がネットワーク デバイス リポジトリに追加されます。重複エントリは無視されます。 |
|
インポート中にエラーが発生したときに Cisco ISE にインポートを中止させる場合、このチェックボックスをオンにしますが、Cisco ISE はエラーのその時点までネットワーク デバイスをインポートします。 このチェックボックスがオフで、エラーが発生した場合は、エラーが報告され、Cisco ISE はデバイスを引き続きインポートします。 |
次の表では、ネットワーク デバイス グループを作成するために使用できる [ネットワーク デバイス グループ(Network Device Groups)] ページのフィールドについて説明します。このページへのナビゲーション パスは、 です。
ページでネットワーク デバイス グループを作成することもできます。
ルート ネットワーク デバイス グループ(NDG)の名前を入力します。ルート NDG の下の後続のすべての子ネットワーク デバイス グループに対して、新しいネットワーク デバイス グループの名前を入力します。 ルート ノードを含み、最大で 6 つのノードを NDG 階層に含めることができます。各 NDG 名は最大 32 文字です。 |
|
親グループ(Parent Group) |
親グループとして既存のグループを選択するか、ルート グループとして、この新しいグループを追加できます。 |
次の表では、Cisco ISE にネットワーク デバイス グループをインポートするために使用できる [ネットワーク デバイス グループ インポート(Network Device Group Import)] ページのフィールドについて説明します。このページへのナビゲーション パスは、 です。
カンマ区切り形式(.csv)テンプレート ファイルを作成するには、このリンクをクリックします。 同じ形式のネットワーク デバイス グループ情報でテンプレートを更新し、それらのネットワーク デバイス グループを Cisco ISE 展開にインポートするためにローカルで保存します。 |
|
作成したか、または Cisco ISE 展開から以前にエクスポートしたカンマ区切り形式ファイルの場所を参照するには、[参照(Browse)] をクリックします。 インポートを使用して、新しい、更新されたネットワーク デバイス グループ情報を含むネットワーク デバイス グループを別の Cisco ISE 展開にインポートできます。 |
|
Cisco ISE で既存のネットワーク デバイス グループをインポート ファイル内のデバイス グループに置き換える場合は、このチェックボックスをオンにします。 このチェックボックスをオンにしない場合、インポート ファイル内の新しいネットワーク デバイス グループがネットワーク デバイス グループ リポジトリに追加されます。重複エントリは無視されます。 |
|
インポート中にエラーが発生すると、Cisco ISE にインポートを中止させる場合、このチェックボックスをオンにしますが、Cisco ISE はエラーのその時点までネットワーク デバイス グループをインポートします。 このチェックボックスがオフで、エラーが発生した場合は、エラーが報告され、Cisco ISE はデバイス グループを引き続きインポートします。 |
次の表は、[ネットワーク デバイス プロファイル(Network Device Profiles)] ページのフィールドについての説明です。このページを使用して、プロトコル、リダイレクト URL および CoA 設定に対するデバイスのサポートなど、特定のベンダーからのネットワーク デバイスのタイプに対するデフォルト設定を構成することができます。その後、プロファイルを使用して特定のネットワーク デバイスを定義します。
このページへのナビゲーション パスは、
です。次の表は、[ネットワーク デバイス プロファイル(Network Device Profile)] セクションのフィールドについての説明です。
アイコン(Icon) |
ネットワーク デバイス プロファイルに使用するアイコンを選択します。このアイコンには、選択したベンダーのアイコンがデフォルトで設定されます。 選択するアイコンは 16 X 16 の PNG ファイルである必要があります。 |
ベンダー(Vendor) |
ネットワーク デバイス プロファイルのベンダーを選択します。 選択可能なベンダーは、シスコ、Aruba、HP、Motorola、Brocade、Alcatel などです。 |
サポートされるプロトコル |
|
RADIUS |
このネットワーク デバイス プロファイルが RADIUS をサポートしている場合は、このチェックボックスをオンにします。 |
TACACS+ |
このネットワーク デバイス プロファイルが TACACS+ をサポートしている場合は、このチェックボックスをオンにします。 |
TrustSec |
このネットワーク デバイス プロファイルが TrustSec をサポートしている場合は、このチェックボックスをオンにします。 |
RADIUS ディクショナリ(RADIUS Dictionaries) |
このプロファイルでサポートされる 1 つ以上の RADIUS ディクショナリを選択します。プロファイルを作成する前に、ベンダー固有の RADIUS ディクショナリをインポートします。 |
次の表は、[認証/許可(Authentication/Authorization)] セクションのフィールドについての説明です。
フロータイプの条件(Flow Type Conditions) |
Cisco ISE では、802.1X、MAC 認証バイパス(MAB)、およびブラウザベースの Web 認証ログインが、有線ネットワークと無線ネットワークの両方を介した基本的なユーザ認証およびアクセスでサポートされます。 このタイプのネットワーク デバイスがサポートする認証ログインのチェックボックスをオンにします。次の 1 つ以上の項目を指定できます。
ネットワーク デバイス プロファイルでサポートされる認証ログインをオンにした後、ログインの条件を指定します。 |
属性エイリアシング(Attribute Aliasing) |
ポリシー ルールのフレンドリ名としてデバイスのサービス セット識別子(SSID)を使用する場合は、[SSID] チェックボックスをオンにします。これにより、ポリシー ルールで使用する一貫した名前を作成でき、その名前は複数のデバイスに適用されます。 |
ホスト ルックアップ(MAB) |
|
ホスト ルックアップの処理(Process Host Lookup) |
ネットワーク デバイス プロファイルで使用されるホスト ルックアップ用のプロトコルを定義するには、このチェックボックスをオンにします。 さまざまなベンダーからのネットワーク デバイスは、MAB 認証を異なる方法で実行します。デバイス タイプに応じて、使用しているプロトコルの [パスワードを確認(Check Password)] チェックボックス、[Calling-Station-IdがMACアドレスと等しいかを確認(Checking Calling-Station-Id equals MAC Address)] チェックボックス、またはその両方をオンにします。 |
PAP/ASCII 経由(Via PAP/ASCII) |
ホスト ルックアップ要求としてネットワーク デバイス プロファイルからの PAP 要求を検出するように Cisco ISE を設定するには、このチェックボックスをオンにします。 |
CHAP 経由(Via CHAP) |
ホスト ルックアップ要求としてネットワーク デバイスからのこのタイプの要求を検出するように Cisco ISE を設定するには、このチェックボックスをオンにします。 このオプションによって、CHAP 認証が有効になります。CHAP は、パスワードの暗号化とともにチャレンジ/レスポンス方式を使用します。CHAP は、Microsoft Active Directory では使用できません。 |
EAP-MD5 経由(EAP-MD5) |
ネットワーク デバイス プロファイルに EAP ベースの MD5 ハッシュ認証を有効にするには、このチェックボックスをオンにします。 |
このネットワーク デバイス プロファイルに使用される VLAN および ACL の権限を定義できます。プロファイルを保存すると、Cisco ISE は設定された各権限に対し許可プロファイルを自動的に生成します。次の表は、[権限(Permissions)] セクションのフィールドについての説明です。
このネットワーク デバイス プロファイルに VLAN 権限を設定するには、このチェックボックスをオンにします。次のいずれかのオプションを選択します。 |
|
RADIUS 属性をネットワーク デバイス プロファイルの ACL に設定する場合は、このチェックボックスをオンにします。 |
このテンプレートは、CoA がこのタイプのネットワーク デバイスにどのように送信されるかを定義します。次の表は、[許可変更(CoA)(Change of Authorization (CoA))] セクションのフィールドについての説明です。
RADIUS により、または SNMP により、ネットワーク デバイス プロファイルに CoA パケットを送信するか、あるいはまったくしないかを選択します。 |
|
デフォルトの CoA ポート(Default CoA Port) |
RADIUS CoA を送信するポート。シスコ デバイスのデフォルト ポートは 1700 で、他のベンダーのデバイスでは 3799 です。 [ネットワークデバイス(Network Device)] ページでこれを上書きできます。 |
タイムアウト間隔(Timeout Interval) |
CoA の送信後に Cisco ISE が応答を待機する秒数。 |
再試行回数(Retry Count) |
最初のタイムアウト後に Cisco ISE が CoA の送信を試行する回数。 |
切断 |
これらのデバイスに接続解除要求を送信する方法を選択します。 |
再認証(Re-authenticate) |
ネットワーク デバイスに再認証要求を送信する方法を選択します。これは現在、シスコ デバイスのみでサポートされています。 |
CoA プッシュ(CoA Push) |
ネットワーク デバイスがシスコの TrustSec CoA 機能をサポートしない場合は、このオプションを選択して、Cisco ISE が設定の変更をデバイスにプッシュできるようにします。 |
SNMP による CoA(CoA by SNMP) |
|
タイムアウト間隔(Timeout Interval) |
CoA の送信後に Cisco ISE が応答を待機する秒数。 |
再試行回数(Retry Count) |
Cisco ISE が CoA の送信を試行する回数。 |
NAD ポートの検出 |
関連する RADIUS 属性は、現時点での唯一のオプションです。 |
関連する RADIUS 属性 |
NAD ポートを検出する方法を選択します。
|
切断 |
これらのデバイスに接続解除要求を送信する方法を選択します。
|
ネットワーク デバイスは、許可プロファイルで設定されている場合、クライアントの HTTP 要求をリダイレクトできます。このテンプレートは、このネットワーク デバイス プロファイルが URL リダイレクトをサポートするかどうかを指定します。デバイス タイプに固有の URL パラメータ名を使用します。
次の表は、[リダイレクト(Redirect)] セクションのフィールドについての説明です。
フィールド |
定義(Definition) |
---|---|
タイプ(Type) |
ネットワーク デバイス プロファイルが静的または動的 URL リダイレクトをサポートするかを選択します。 デバイスがどちらもサポートしていない場合、[未サポート(Not Supported)] を選択し、 から VLAN を設定します(詳細については、を参照してください)。Cisco ISE が提供する認証 VLAN リダイレクトのシミュレーションの設定に関する詳細については、次を参照してください Cisco ISE でのサードパーティ製ネットワーク デバイスの設定 |
リダイレクト URL パラメータ名 |
|
クライアント IP アドレス |
ネットワーク デバイスがクライアントの IP アドレスに使用するパラメータ名を入力します。 |
クライアントMACアドレス(Client MAC Address) |
ネットワーク デバイスがクライアントの MAC アドレスに使用するパラメータ名を入力します。 |
元の URL(Originating URL) |
ネットワーク デバイスが元の URL に使用するパラメータ名を入力します。 |
セッション ID |
ネットワーク デバイスがセッション ID に使用するパラメータ名を入力します。 |
SSID |
ネットワーク デバイスがサービス セット識別子(SSID)に使用するパラメータ名を入力します。 |
ダイナミック URL パラメータ |
|
パラメータ |
動的 URL リダイレクトを選択する場合は、これらのネットワーク デバイスがリダイレクト URL を作成する方法を指定する必要があります。また、リダイレクト URL がセッション ID またはクライアントの MAC アドレスを使用するかを指定できます。 |
ネットワーク デバイス プロファイルを使用して、ネットワーク デバイスをポリシー ルールで使いやすくするために、多数のポリシー要素を生成できます。これらの要素には、複合条件、許可プロファイル、および許可されているプロトコルが含まれています。
これらの要素を作成するには、[ポリシー要素の作成(Generate Policy Elements)] ボタンをクリックします。
次の表では、[外部 RADIUS サーバ(External RADIUS Server)] ページのフィールドについて説明します。これらのフィールドを使用して、RADIUS サーバを設定できます。Cisco ISE が RADIUS サーバとして機能するためには、このページで設定する必要があります。このページのナビゲーション パスは、 です。
外部 RADIUS サーバの認証に使用される、Cisco ISE と外部 RADIUS サーバの間の共有秘密を入力します。共有秘密情報は、予期されるテキスト文字列です。ユーザは、ネットワーク デバイスによってユーザ名およびパスワードが認証されるようにこれらの情報を提示する必要があります。ユーザが共有秘密情報を提示するまで、接続は拒否されます。共有秘密情報の長さは、最大 128 文字です。 |
|
このオプションをオンにすると、Cisco ISE で FIPS 140-2 準拠が有効になり、AES KeyWrap アルゴリズムにより RADIUS プロトコルのセキュリティが強化されます。 |
|
([keyWrap を有効にする(Enable keyWrap)] チェックボックスをオンにした場合のみ)セッション暗号化(秘密)に使用される暗号キーを入力します。 |
|
([keyWrap を有効にする(Enable keyWrap)] チェックボックスをオンにした場合のみ)RADIUS メッセージ上のキー付き HMAC 計算に使用されるキーを入力します。 |
|
Cisco ISE 暗号キーの入力に使用する形式を指定します。これは、WLAN コントローラ上の設定と一致する必要があります。(指定する値の長さは、次に定義されているキーの最大長と正確に一致している必要があります。これより短い値は許可されません)。 |
|
RADIUS アカウンティングのポート番号を入力します。値の範囲は 1 ~ 65535 です。デフォルトは 1813 です。 |
|
Cisco ISE が外部 RADIUS サーバからの応答を待機する秒数を入力します。デフォルトは 5 秒です。有効な値は 5 ~ 120 です。 |
|
Cisco ISE が外部 RADIUS サーバへの接続を試行する回数を入力します。デフォルトは 3 回に設定されています。有効な値は 1 ~ 9 です。 |
次の表では、RADIUS サーバ順序を作成するために使用する [RADIUS サーバ順序(RADIUS Server Sequences)] ページのフィールドについて説明します。このページへのナビゲーション パスは、 です。
[使用可能(Available)] リスト ボックスで、ポリシー サーバとして使用する外部 RADIUS サーバを選択し、選択した外部 RADIUS サーバを [選択済み(Selected)] リスト ボックスに移動します。 |
|
高度な属性設定(Advanced Attributes Settings) | |
サブジェクト名の先頭から最後に出現する区切り文字まで削除(Strip Start of Subject Name up to the First Occurrence of the Separator) |
プレフィクスからユーザ名を取り除くには、このチェックボックスをオンにします。たとえば、サブジェクト名が acme\userA、区切り文字が \ の場合、ユーザ名は userA になります。 |
最初に出現する区切り文字からサブジェクト名の末尾まで削除(Strip End of Subject Name from the Last Occurrence of the Separator) |
サフィックスからユーザ名を取り除くには、このチェックボックスをオンにします。たとえば、サブジェクト名が userA@abc.com、区切り文字が @ の場合、ユーザ名は userA になります。
|
外部 RADIUS サーバへの要求に含まれる属性を変更する(Modify Attributes in the Request to the External RADIUS Server) |
認証済みの RADIUS サーバとの間で送受信する属性の操作を Cisco ISE に許可するには、このチェックボックスをオンにします。 |
ID ストア グループおよび属性の取得に基づいて、プロキシ フローを許可ポリシーの実行に誘導して、より詳細な意思決定を行うには、このチェックボックスをオンにします。このオプションを有効にすると、外部 RADIUS サーバからの応答に含まれる属性が、認証ポリシーの選択に使用されます。このコンテキストの既存の属性は、AAA サーバの受け入れ応答属性の適切な値で更新されます。 |
|
Access-Accept の送信前に属性を変更する(Modify Attributes before send an Access-Accept) |
次の表では、NAC マネージャを追加するために使用できる [新規 NAC Manager(New NAC Manager)] ページのフィールドについて説明します。このページへのナビゲーション パスは、 です。
CAM への接続を認証する Cisco ISE プロファイラからの REST API 通信を有効にする場合は、[ステータス(Status)] チェックボックスをオンにします。 |
|||
CAM の IP アドレスを入力します。Cisco ISE で CAM を作成して保存した後、CAM の IP アドレスを編集することはできません。 0.0.0.0 と 255.255.255.255 は、Cisco ISE で CAM の IP アドレスを検証するときに除外され、CAM の [IP アドレス(IP Address)] フィールドで使用できる有効な IP アドレスではないため、使用できません。
|
|||
デバイス ポータルの管理
デバイス ポータルの設定
これらの一般的な設定値を設定したら、これらの設定は会社に設定したすべて BYOD ポータルおよびデバイス ポータルに適用されます。
これらの設定へのナビゲーションパスは、
です。ポータル名(Portal Name):このポータルにアクセスするための一意のポータル名を入力します。 このポータル名を、その他のスポンサーやゲスト ポータルおよび非ゲスト ポータル(ブラックリスト、個人所有デバイス持ち込み(BYOD)、クライアント プロビジョニング、モバイル デバイス管理(MDM)、またはデバイスの各ポータル)に使用しないでください。
この名前は、許可プロファイルのポータルの選択でリダイレクションの選択肢として表示され、ポータルのリストで他のポータルの中から簡単に識別するために使用されます。
[説明(Description)]:任意項目です。
ポータル テスト URL(Portal test URL):[保存(Save)] をクリックした後にリンクとして表示されるシステムにより生成された URL。 ポータルをテストするために使用します。
リンクをクリックすると、このポータルの URL を表示する新しいブラウザ タブが開きます。これを有効にするには、ポリシー サービスを含むポリシー サービス ノード(PSN)をオンにする必要があります。ポリシー サービスがオンになっていない場合、PSN は管理者用ポータルのみを表示します。
![]() (注) | テスト ポータルは RADIUS セッションをサポートしていないため、すべてのポータルに対するポータル フローの全体は表示されません。BYOD およびクライアント プロビジョニングは RADIUS セッションに依存するポータルの例です。たとえば、外部 URL へのリダイレクションは機能しません。 |
言語ファイル(Language File):各ポータル タイプは、デフォルトで 15 種類の言語をサポートします。これらの言語は、個々のプロパティ ファイルとして使用できます。これらのファイルは、圧縮された単一の言語ファイル内にまとめてバンドルされています。 ポータルで使用する圧縮言語ファイルをエクスポートまたはインポートします。圧縮言語ファイルには、ポータルのテキストを表示するために使用可能な個別の言語ファイルがすべて含まれています。
言語ファイルには、その言語のポータル全体のすべての文字列設定に加え、特定のブラウザのロケール設定(例:フランス語の場合は fr、fr-fr、fr-ca)へのマッピングが含まれています。1 つの言語ファイルには、翻訳およびローカリゼーションの目的に容易に使用できるように、サポートされるすべての言語が含まれています。
1 つの言語用のブラウザ ロケール設定を変更した場合、変更内容は他のすべてのエンドユーザ Web ポータルに適用されます。たとえば、ホットスポット ゲスト ポータルの French.properties ブラウザ ロケールを fr,fr-fr,fr-ca から fr,fr-fr に変更すると、この変更内容がデバイス ポータルにも適用されます。
[ポータルページのカスタマイズ(Portal Page Customizations)] タブでいずれかのポータル ページ テキストをカスタマイズすると、警告アイコンが表示されます。警告メッセージは、ポータルのカスタマイズ時に 1 つの言語で行った変更をすべてのサポート対象の言語プロパティ ファイルで更新するように注意を促します。ドロップダウン リストのオプションを使用して、手動で警告アイコンが表示されないようにします。また、警告アイコンは、更新された圧縮言語ファイルのインポート後に自動的に表示されなくなります。
この設定のナビゲーション パスは、
ですこれらの設定を使用して、ユーザ(状況に応じてゲスト、スポンサー、または従業員)に表示される特定のポータル ページではなく、ポータル全体に適用される値を指定したり動作を定義したりします。
[HTTPS ポート(HTTPS port)]:8000 ~ 8999 の範囲のポート値を入力します。デフォルト値はすべてのデフォルト ポータルで 8443 です。ただし、ブラックリスト ポータルは 8444 です。この範囲外のポート値を使用してアップグレードした場合は、このページで変更を加えるまで維持されます。このページを変更する場合は、この制限に従うようにポート設定を更新します。
ゲスト ポータルに非ゲスト ポータル(マイ デバイスなど)によって使用されるポートを割り当てると、エラー メッセージが表示されます。
ポスチャ評価と修復についてのみ、クライアント プロビジョニング ポータルはポート 8905 および 8909 も使用します。それ以外の場合は、ゲスト ポータルへの割り当てと同じポートを使用します。
同じ HTTPS ポートに割り当てられたポータルは、同じギガビット イーサネット インターフェイスまたは別のインターフェイスを使用できます。これらのポータルが同じポートとインターフェイスの組み合わせを使用している場合、同じ証明書グループ タグを使用する必要があります。次に例を示します。
[使用可能インターフェイス(Allowed interfaces)]:PAN がポータルの実行に使用できる PSN インターフェイスを選択します。ポータルを開く要求が PAN で行われると、PAN は PSN で使用可能なポートを探します。異なるサブネット上の IP アドレスを使用してイーサネット インターフェイスを設定する必要があります。
これらのインターフェイスは、ポリシー サービスがオンになっているすべての PSN(VM ベースを含む)で使用可能である必要があります。これは、これらのすべての PSN がゲスト セッションの開始時にリダイレクトに使用される可能性があるため、必須要件です。
イーサネット インターフェイスは、異なるサブネット上の IP アドレスを使用する必要があります。
ここで有効にするインターフェイスは、ポリシー サービスがオンになっているときの VM ベースのものを含む、すべての PSN で使用できるものでなければなりません。これは、これらのすべての PSN がゲスト セッションの開始時にリダイレクトに使用される可能性があるため必須です。
ポータルの証明書のサブジェクト名とサブジェクトの代替名はインターフェイス IP に解決する必要があります。
ISE CLI で ip host x.x.x.x yyy.domain.com を設定して、セカンダリ インターフェイス IP を FQDN にマッピングします。これは、証明書のサブジェクト名とサブジェクトの代替名と一致させるために使用されます。
ボンディングされた NIC のみが選択されている場合:PSN がポータルを設定しようとすると、最初にボンディング インターフェイスを設定しようとします。これが成功しない場合、おそらくは、その PSN でボンディングが設定されていないために、PSN でエラーが記録されて終了します。PSN は物理インターフェイスでのポータルの開始を試みません。
NIC チーミングまたはボンディングは、高可用性(耐障害性)のために 2 つの個別の NIC を設定できる、O/S 設定オプションです。どちらかの NIC に障害が発生すると、ボンディングされた接続の一部であるもう一方の NIC は、接続を続行します。1 つの NIC がポータル設定に基づきポータルに対して選択されます。
[証明書グループ タグ(Certificate group tag)]:ポータルの HTTPS トラフィックに使用する証明書を指定する証明書グループ タグを選択します。
表示言語
[ブラウザのロケールを使用する(Use browser locale)]:クライアント ブラウザのロケール設定で指定された言語をポータルの表示言語として使用します。ブラウザ ロケールの言語が ISE でサポートされていない場合は、フォールバック言語が言語ポータルとして使用されます。
[フォールバック言語(Fallback language)]:ブラウザ ロケールから言語を取得できない場合、またはブラウザ ロケール言語が ISE でサポートされていない場合に使用する言語を選択します。
[常に使用(Always use)]:ポータルに使用する表示言語を選択します。この設定は、ユーザのブラウザのロケール オプションを上書きします。
[スポンサーに使用可能な SSID(SSIDs available to sponsors)]:ゲストの訪問にあたり、スポンサーが正しい接続先ネットワークとしてゲストに通知できる、ネットワークの名前または SSID(セッション サービス識別子)を入力します。
この設定のナビゲーションパスは、
です。これらを設定して、ポータル ページの動作を定義します。
[HTTPS ポート(HTTPS port)]:8000 ~ 8999 の範囲のポート値を入力します。デフォルト値はすべてのデフォルト ポータルで 8443 です。ただし、ブラックリスト ポータルは 8444 です。この範囲外のポート値を使用してアップグレードした場合は、このページで変更を加えるまで維持されます。このページを変更する場合は、この制限に従うようにポート設定を更新します。
ゲスト ポータルに非ゲスト ポータル(マイ デバイスなど)によって使用されるポートを割り当てると、エラー メッセージが表示されます。
ポスチャ評価と修復についてのみ、クライアント プロビジョニング ポータルはポート 8905 および 8909 も使用します。それ以外の場合は、ゲスト ポータルへの割り当てと同じポートを使用します。
同じ HTTPS ポートに割り当てられたポータルは、同じギガビット イーサネット インターフェイスまたは別のインターフェイスを使用できます。これらのポータルが同じポートとインターフェイスの組み合わせを使用している場合、同じ証明書グループ タグを使用する必要があります。次に例を示します。
[使用可能インターフェイス(Allowed interfaces)]:PAN がポータルの実行に使用できる PSN インターフェイスを選択します。ポータルを開く要求が PAN で行われると、PAN は PSN で使用可能なポートを探します。異なるサブネット上の IP アドレスを使用してイーサネット インターフェイスを設定する必要があります。
これらのインターフェイスは、ポリシー サービスがオンになっているすべての PSN(VM ベースを含む)で使用可能である必要があります。これは、これらのすべての PSN がゲスト セッションの開始時にリダイレクトに使用される可能性があるため、必須要件です。
イーサネット インターフェイスは、異なるサブネット上の IP アドレスを使用する必要があります。
ここで有効にするインターフェイスは、ポリシー サービスがオンになっているときの VM ベースのものを含む、すべての PSN で使用できるものでなければなりません。これは、これらのすべての PSN がゲスト セッションの開始時にリダイレクトに使用される可能性があるため必須です。
ポータルの証明書のサブジェクト名とサブジェクトの代替名はインターフェイス IP に解決する必要があります。
ISE CLI で ip host x.x.x.x yyy.domain.com を設定して、セカンダリ インターフェイス IP を FQDN にマッピングします。これは、証明書のサブジェクト名とサブジェクトの代替名と一致させるために使用されます。
ボンディングされた NIC のみが選択されている場合:PSN がポータルを設定しようとすると、最初にボンディング インターフェイスを設定しようとします。これが成功しない場合、おそらくは、その PSN でボンディングが設定されていないために、PSN でエラーが記録されて終了します。PSN は物理インターフェイスでのポータルの開始を試みません。
NIC チーミングまたはボンディングは、高可用性(耐障害性)のために 2 つの個別の NIC を設定できる、O/S 設定オプションです。どちらかの NIC に障害が発生すると、ボンディングされた接続の一部であるもう一方の NIC は、接続を続行します。1 つの NIC がポータル設定に基づきポータルに対して選択されます。
[証明書グループ タグ(Certificate group tag)]:ポータルの HTTPS トラフィックに使用する証明書を指定する証明書グループ タグを選択します。
エンドポイント ID グループ(Endpoint identity group):ゲストのデバイスを追跡するためのエンドポイント ID グループを選択します。Cisco ISE はデフォルトとして使用する GuestEndpoints のエンドポイント ID グループを提供します。デフォルトを使用しない場合、追加のエンドポイント ID グループを作成することもできます。
従業員のデバイスを追跡するためのエンドポイント ID グループを選択します。Cisco ISE はデフォルトとして使用する RegisteredDevices のエンドポイント ID グループを提供します。デフォルトを使用しない場合、追加のエンドポイント ID グループを作成することもできます。
表示言語
[ブラウザのロケールを使用する(Use browser locale)]:クライアント ブラウザのロケール設定で指定された言語をポータルの表示言語として使用します。ブラウザ ロケールの言語が ISE でサポートされていない場合は、フォールバック言語が言語ポータルとして使用されます。
[フォールバック言語(Fallback language)]:ブラウザ ロケールから言語を取得できない場合、またはブラウザ ロケール言語が ISE でサポートされていない場合に使用する言語を選択します。
[常に使用(Always use)]:ポータルに使用する表示言語を選択します。この設定は、ユーザのブラウザのロケール オプションを上書きします。
[スポンサーに使用可能な SSID(SSIDs available to sponsors)]:ゲストの訪問にあたり、スポンサーが正しい接続先ネットワークとしてゲストに通知できる、ネットワークの名前または SSID(セッション サービス識別子)を入力します。
フィールド | 使用上のガイドライン |
---|---|
AUP をページに含める/AUP をリンクとして含める(Include an AUP (on page/as link)) |
会社のネットワーク使用の諸条件を、現在ユーザに表示されるページ上のテキストとして、または AUP テキストが含まれる新しいタブまたはウィンドウを開くリンクとして表示します。 |
同意が必要(Require acceptance) |
ユーザのアカウントが完全に有効になる前に、ユーザは AUP に同意する必要があります。[ログイン(Login)] ボタンは、ユーザが AUP を受け入れない場合は有効になりません。ユーザが AUP に同意しない場合、ネットワークにアクセスできません。 |
AUP の最後までのスクロールが必要(Require scrolling to end of AUP) |
このオプションは、[AUP をページに含める(Include an AUP on page)] が有効である場合のみ表示されます。 ユーザが AUP を最後まで読んだことを確認します。[同意(Accept)] ボタンは、ユーザが AUP の最後までスクロールするとアクティブになります。 |
登録時にデバイス ID フィールドを表示する(Display Device ID field during registration) |
登録プロセス中に、デバイス ID をユーザに表示します。これは、デバイス ID が事前設定されており、BYOD ポータルを使用しているときに変更できない場合も含みます。 |
元の URL(Originating URL) |
ネットワークへの認証に成功すると、可能な場合はユーザのブラウザを、ユーザがアクセスしようとしていた元の Web サイトにリダイレクトします。リダイレクトできない場合は、認証成功ページが表示されます。リダイレクト URL が NAD のアクセス コントロール リストとその NAD の ISE で設定された許可プロファイルにより、PSN のポート 8443 で動作することを確認します。 Windows、MAC、および Android デバイスの場合、制御はプロビジョニングを実行するセルフプロビジョニング ウィザード アプリケーションに渡されます。そのため、これらのデバイスは元の URL にリダイレクトされません。ただし、iOS(dot1X)およびサポート対象外のデバイス(ネットワーク アクセスが許可されている)では、この URL にリダイレクトされます。 |
成功ページ(Success page) |
デバイスの登録が成功したことを示すページを表示します。 |
URL |
ネットワークへの認証に成功すると、ユーザのブラウザを指定された URL(会社の Web サイトなど)にリダイレクトします。 |
![]() (注) | 認証後に外部 URL にゲストをリダイレクトする場合、URL アドレスを解決して、セッションがリダイレクトされるまでに遅延が生じることがあります。 |
これらの設定へのナビゲーション パスは、
です。[HTTPS ポート(HTTPS port)]:8000 ~ 8999 の範囲のポート値を入力します。デフォルト値はすべてのデフォルト ポータルで 8443 です。ただし、ブラックリスト ポータルは 8444 です。この範囲外のポート値を使用してアップグレードした場合は、このページで変更を加えるまで維持されます。このページを変更する場合は、この制限に従うようにポート設定を更新します。
ゲスト ポータルに非ゲスト ポータル(マイ デバイスなど)によって使用されるポートを割り当てると、エラー メッセージが表示されます。
ポスチャ評価と修復についてのみ、クライアント プロビジョニング ポータルはポート 8905 および 8909 も使用します。それ以外の場合は、ゲスト ポータルへの割り当てと同じポートを使用します。
同じ HTTPS ポートに割り当てられたポータルは、同じギガビット イーサネット インターフェイスまたは別のインターフェイスを使用できます。これらのポータルが同じポートとインターフェイスの組み合わせを使用している場合、同じ証明書グループ タグを使用する必要があります。次に例を示します。
[使用可能インターフェイス(Allowed interfaces)]:PAN がポータルの実行に使用できる PSN インターフェイスを選択します。ポータルを開く要求が PAN で行われると、PAN は PSN で使用可能なポートを探します。異なるサブネット上の IP アドレスを使用してイーサネット インターフェイスを設定する必要があります。
これらのインターフェイスは、ポリシー サービスがオンになっているすべての PSN(VM ベースを含む)で使用可能である必要があります。これは、これらのすべての PSN がゲスト セッションの開始時にリダイレクトに使用される可能性があるため、必須要件です。
イーサネット インターフェイスは、異なるサブネット上の IP アドレスを使用する必要があります。
ここで有効にするインターフェイスは、ポリシー サービスがオンになっているときの VM ベースのものを含む、すべての PSN で使用できるものでなければなりません。これは、これらのすべての PSN がゲスト セッションの開始時にリダイレクトに使用される可能性があるため必須です。
ポータルの証明書のサブジェクト名とサブジェクトの代替名はインターフェイス IP に解決する必要があります。
ISE CLI で ip host x.x.x.x yyy.domain.com を設定して、セカンダリ インターフェイス IP を FQDN にマッピングします。これは、証明書のサブジェクト名とサブジェクトの代替名と一致させるために使用されます。
ボンディングされた NIC のみが選択されている場合:PSN がポータルを設定しようとすると、最初にボンディング インターフェイスを設定しようとします。これが成功しない場合、おそらくは、その PSN でボンディングが設定されていないために、PSN でエラーが記録されて終了します。PSN は物理インターフェイスでのポータルの開始を試みません。
NIC チーミングまたはボンディングは、高可用性(耐障害性)のために 2 つの個別の NIC を設定できる、O/S 設定オプションです。どちらかの NIC に障害が発生すると、ボンディングされた接続の一部であるもう一方の NIC は、接続を続行します。1 つの NIC がポータル設定に基づきポータルに対して選択されます。
[証明書グループ タグ(Certificate group tag)]:ポータルの HTTPS トラフィックに使用する証明書を指定する証明書グループ タグを選択します。
[認証方式(Authentication Method)]:ユーザ認証に使用する ID ソース順序(ISS)または ID プロバイダー(IdP)を選択します。ISS は、ユーザ クレデンシャルを確認するために順番に検索される ID ストアのリストです。たとえば、内部ゲスト ユーザ、内部ユーザ、Active Directory、LDAP ディレクトリ などがあります。
Cisco ISE には、スポンサー ポータル Sponsor_Portal_Sequence 用のデフォルトのスポンサー ID ソース順序が含まれています。
IdP を設定するには、
の順に選択します。ID ソース順序を設定するには、[管理(Administration)] > [IDの管理(Identity Management)] > [IDソース順序(Identity Source Sequences)] の順に選択します。
[承認済みグループの設定(Configure Authorized Groups)]:証明書を生成してそれを [選択済み(Chosen)] ボックスに移動するための権限を付与するユーザ ID グループを選択します。
[完全修飾ドメイン名(FQDN)(Fully Qualified Domain Name (FQDN))]:スポンサーまたはデバイス ポータルに対応する 1 つの固有の FQDN またはホスト名を入力します。たとえば、sponsorportal.yourcompany.com,sponsor と入力することで、ユーザはブラウザにこれらのいずれかを入力すると、スポンサー ポータルが表示されます。カンマを使用して名前を区切りますが、エントリ間にスペースを挿入しないでください。
デフォルトの FQDN を変更する場合は、次を実行します。
DNS を更新して、新しい URL の FQDN が有効なポリシー サービス ノード(PSN)の IP アドレスに解決するようにします。PSN のプールを提供するロード バランサの仮想 IP アドレスを指定することもできます。
名前の不一致による証明書の警告メッセージを回避するために、Cisco ISE PSN のローカル サーバ証明書のサブジェクト代替名(SAN)属性に、カスタマイズされた URL の FQDN またはワイルドカードを含めます。
[アイドル タイムアウト(Idle timeout)]:ポータルでアクティビティがない場合にユーザをログアウトするまでに Cisco ISE が待機する時間(分)を入力します。有効な範囲は 1 ~ 30 分です。
[頻度制限までの最大ログイン試行失敗数(Maximum failed login attempts before rate limiting)]:Cisco ISE がアカウントのスロットルを開始するまでの単一のブラウザ セッションからのログイン試行失敗回数を指定します。これにより、アカウントのロックアウトは起きません。スロットル率は、[頻度制限時のログイン試行間隔(Time between login attempts when rate limiting)] で設定されます。
[AUP を含める(Include an AUP)]:フローに利用規約ページを追加します。AUP をページに追加したり、別のページへのリンクを設定することができます。これを追加すると、右側のフローの画像が変わります。
[同意が必要(require acceptance)]:フローを続行する前に、ユーザが AUP に同意するように強制します。
[AUP ページを含める(Include an AUP page)]:会社のネットワーク使用諸条件を、別のページでユーザに表示します。
[従業員に別の AUP を使用する(Use different AUP for employees)]:従業員専用に別の AUP およびネットワーク使用諸条件を表示します。このオプションを選択すると、[従業員用の AUP をスキップ(Skip AUP for employees)] は選択できません。
[従業員用の AUP をスキップ(Skip AUP for employees)]:従業員は、ネットワークにアクセスする前に AUP に同意する必要はありません。このオプションを選択すると、[従業員に別の AUP を使用する(Use different AUP for employees)] は選択できません。
[同意が必要(Require acceptance)]:ユーザのアカウントが完全に有効になる前に、ユーザは AUP に同意する必要があります。[ログイン(Login)] ボタンは、ユーザが AUP を受け入れない場合は有効になりません。ユーザが AUP に同意しない場合、ネットワークにアクセスできません。
[AUP の最後までのスクロールが必要(Require scrolling to end of AUP)]:[AUP をページに含める(Include an AUP on page)] を有効にした場合にのみ、このオプションが表示されます。
ユーザが AUP を最後まで読んだことを確認します。[同意(Accept)] ボタンは、ユーザが AUP の最後までスクロールするとアクティブになります。AUP がユーザに表示された場合に設定します。
[初回のログインのみ(On first login only)]:ユーザが初めてネットワークまたはポータルにログインしたときに AUP を表示します。
[ログインごと(On every login)]:ユーザがネットワークまたはポータルにログインするごとに、AUP を表示します。
[__ 日ごと(初回のログインから)(Every __ days (starting at first login))]:ネットワークやポータルにユーザが初めてログインした後は、AUP を定期的に表示します。
これらの設定へのナビゲーション パスは、
です。HTTPS ポート(HTTPS Port):8000 ~ 8999 の範囲のポート値を入力します。デフォルト値はすべてのデフォルト ポータルで 8443 です。ただし、ブラックリスト ポータルは 8444 です。この範囲外のポート値を使用してアップグレードした場合は、このページで変更を加えるまで維持されます。このページを変更する場合、この制限に従うようにポート設定を変更する必要があります。
使用可能インターフェイス(Allowed interfaces):ポータルを実行できる PSN インターフェイスを選択します。PSN で使用可能なインターフェイスを備えた PSN のみがポータルを作成できます。物理およびボンディングされたインターフェイスの任意の組み合わせを設定できます。これは PSN 全体の設定です。すべてのポータルはこれらのインターフェイスでのみ動作し、このインターフェイス設定はすべての PSN に適用されます。
異なるサブネット上の IP アドレスを使用してイーサネット インターフェイスを設定する必要があります。
ここで有効にするインターフェイスは、ポリシー サービスがオンになっているときの VM ベースのものを含む、すべての PSN で使用できるものでなければなりません。これは、これらのすべての PSN がゲスト セッションの開始時にリダイレクトに使用される可能性があるため必須です。
ポータルの証明書のサブジェクト名とサブジェクトの代替名は、インターフェイス IP に解決される必要があります。
ISE CLI の ip host x.x.x.x yyy.domain.com をセカンダリ インターフェイス IP と FQDN をマッピングするように設定します。これは証明書のサブジェクト名/サブジェクトの代替名を一致させるために使用されます。
ボンディングされた NIC のみが選択されている場合:PSN がポータルを設定しようとすると、最初にボンディング インターフェイスを設定しようとします。これが成功しない場合、その PSN にボンド セットがなかったことが原因である可能性があるので、PSN はエラーを記録して終了します。物理インターフェイスでポータルを開始しようとはしません。
NIC チーミングまたはボンディングは、高可用性(耐障害性)のために 2 つの個別の NIC を設定できる、O/S 設定オプションです。どちらかの NIC に障害が発生すると、ボンディングされた接続の一部であるもう一方の NIC は、接続を続行します。1 つの NIC がポータル設定に基づきポータルに対して選択されます。
Cisco ISE には、クライアント プロビジョニング ポータル用のデフォルトのクライアント プロビジョニング ID ソース順序 Certificate_Portal_Sequence が含まれています。
完全修飾ドメイン名(FQDN)(Fully Qualified Domain Name (FQDN)):クライアント プロビジョニング ポータル用に少なくとも 1 つの一意の FQDN、ホスト名、またはその両方を入力します。たとえば、「provisionportal.yourcompany.com」と入力した場合、ユーザはこれらのいずれかをブラウザに入力して証明書プロビジョニング ポータルに到達できます。
DNS を更新して、新しい URL の FQDN が有効なポリシー サービス ノード(PSN)の IP アドレスに確実に解決するようにします。PSN のプールを提供するロード バランサの仮想 IP アドレスを指定することもできます。
名前の不一致による証明書の警告メッセージを回避するために、Cisco ISE PSN のローカル サーバ証明書のサブジェクト代替名(SAN)属性に、カスタマイズされた URL の FQDN またはワイルドカードを含めます。
![]() (注) | URL リダイレクトなしのクライアント プロビジョニングの場合、[完全修飾ドメイン名(FQDN)(Fully Qualified Domain Name (FQDN))] フィールドに入力するポータル名は、DNS 設定で設定されている必要があります。URL リダイレクトなしのクライアント プロビジョニングを有効にするため、この URL をユーザに通知する必要があります。 |
![]() (注) | クライアント プロビジョニング ポータルではポート番号と証明書を定義できます。これにより、ホストはクライアント プロビジョニングとポスチャに同じ証明書をダウンロードすることを許可します。ポータル証明書が正式な認証局により署名されている場合、セキュリティ警告は表示されません。自己署名証明書の場合、ポータルと Cisco AnyConnect Posture コンポーネントの両方でセキュリティ警告を受け取ります。 |
[ログインの有効化(Enable Login)]:クライアント プロビジョニング ポータルのログイン手順を有効にするには、このチェック ボックスを選択します
[頻度制限までの最大ログイン試行失敗数(Maximum failed login attempts before rate limiting)]:単一のブラウザ セッションからのログイン試行失敗回数を指定します。この回数を超過すると、Cisco ISE はログイン試行を実行できる頻度を意図的に低下させて、追加のログイン試行を防ぎます。ログイン失敗がこの回数に達した後のログイン試行の間隔は、[頻度制限時のログイン試行間隔(Time between login attempts when rate limiting)] で指定されます。
[頻度制限時のログイン試行間隔(Time between login attempts when rate limiting)]:[頻度制限までの最大ログイン試行失敗数(Maximum failed login attempts before rate limiting)] で定義された回数のログインの失敗後に、ユーザが再度ログインを試行するまでに待機する必要がある時間を分単位で設定します。
[AUP をページに含める/AUP をリンクとして含める(Include an AUP (on page/as link))]:会社のネットワーク使用の諸条件を、現在ユーザに表示されるページ上のテキストとして、または AUP テキストが含まれる新しいタブまたはウィンドウを開くリンクとして表示します。
[同意が必要(Require acceptance)]:ポータルにアクセスする前にユーザが AUP を受け入れることを要求します。[ログイン(Login)] ボタンは、ユーザが AUP を受け入れない場合は有効になりません。AUP を受け入れないユーザは、ポータルにアクセスできません。
[AUP の最後までのスクロールが必要(Require scrolling to end of AUP)]: [AUP をページに含める(Include an AUP on page)] を有効にした場合にのみ、このオプションが表示されます。ユーザが AUP を最後まで読んだことを確認します。[同意(Accept)] ボタンは、ユーザが AUP の最後までスクロールするとアクティブになります。
[AUP を含める(Include an AUP)]:会社のネットワーク使用諸条件を、別のページでユーザに表示します。
[AUP の最後までのスクロールが必要(Require scrolling to end of AUP)]:ユーザが AUP を完全に読んだことを確認します。[同意(Accept)] ボタンは、ユーザが AUP の最後までスクロールするとアクティブになります。
[初回のログインのみ(On first login only)]:ユーザがネットワークまたはポータルに初めてログインしたときのみ、AUP を表示します。
[ログインごと(On every login)]:ユーザがネットワークまたはポータルにログインするごとに、AUP を表示します。
[_ 日ごと(初回のログインから)(Every ______ days (starting at first login))]:ネットワークやポータルにユーザが初めてログインした後は、AUP を定期的に表示します。
[ポストログイン バナー ページを含める(Include a Post-Login Banner page)]:ユーザが正常にログインした後、ネットワーク アクセスを付与される前に追加情報を表示します。
[内部ユーザに自身のパスワードの変更を許可する(Allow internal users to change their own passwords)]:従業員がクライアント プロビジョニング ポータルにログインして、自分のパスワードを変更できるようにします。これは、アカウントが Cisco ISE データベース保存されている従業員に適用され、Active Directory や LDAP などの外部データベースに保存されている場合には適用されません。
フィールド | 使用上のガイドライン |
---|---|
AUP をページに含める/AUP をリンクとして含める(Include an AUP (on page/as link)) |
会社のネットワーク使用の諸条件を、現在ユーザに表示されるページ上のテキストとして、または AUP テキストが含まれる新しいタブまたはウィンドウを開くリンクとして表示します。 |
同意が必要(Require acceptance) |
ユーザのアカウントが完全に有効になる前に、ユーザは AUP に同意する必要があります。[ログイン(Login)] ボタンは、ユーザが AUP を受け入れない場合は有効になりません。ユーザが AUP に同意しない場合、ネットワークにアクセスできません。 |
AUP の最後までのスクロールが必要(Require scrolling to end of AUP) |
このオプションは、[AUP をページに含める(Include an AUP on page)] が有効である場合のみ表示されます。 ユーザが AUP を最後まで読んだことを確認します。[同意(Accept)] ボタンは、ユーザが AUP の最後までスクロールするとアクティブになります。 |
これらの設定へのナビゲーション パスは、
です。[HTTPS ポート(HTTPS port)]:8000 ~ 8999 の範囲のポート値を入力します。デフォルト値はすべてのデフォルト ポータルで 8443 です。ただし、ブラックリスト ポータルは 8444 です。この範囲外のポート値を使用してアップグレードした場合は、このページで変更を加えるまで維持されます。このページを変更する場合は、この制限に従うようにポート設定を更新します。
ゲスト ポータルに非ゲスト ポータル(マイ デバイスなど)によって使用されるポートを割り当てると、エラー メッセージが表示されます。
ポスチャ評価と修復についてのみ、クライアント プロビジョニング ポータルはポート 8905 および 8909 も使用します。それ以外の場合は、ゲスト ポータルへの割り当てと同じポートを使用します。
同じ HTTPS ポートに割り当てられたポータルは、同じギガビット イーサネット インターフェイスまたは別のインターフェイスを使用できます。これらのポータルが同じポートとインターフェイスの組み合わせを使用している場合、同じ証明書グループ タグを使用する必要があります。次に例を示します。
[使用可能インターフェイス(Allowed interfaces)]:PAN がポータルの実行に使用できる PSN インターフェイスを選択します。ポータルを開く要求が PAN で行われると、PAN は PSN で使用可能なポートを探します。異なるサブネット上の IP アドレスを使用してイーサネット インターフェイスを設定する必要があります。
これらのインターフェイスは、ポリシー サービスがオンになっているすべての PSN(VM ベースを含む)で使用可能である必要があります。これは、これらのすべての PSN がゲスト セッションの開始時にリダイレクトに使用される可能性があるため、必須要件です。
イーサネット インターフェイスは、異なるサブネット上の IP アドレスを使用する必要があります。
ここで有効にするインターフェイスは、ポリシー サービスがオンになっているときの VM ベースのものを含む、すべての PSN で使用できるものでなければなりません。これは、これらのすべての PSN がゲスト セッションの開始時にリダイレクトに使用される可能性があるため必須です。
ポータルの証明書のサブジェクト名とサブジェクトの代替名はインターフェイス IP に解決する必要があります。
ISE CLI で ip host x.x.x.x yyy.domain.com を設定して、セカンダリ インターフェイス IP を FQDN にマッピングします。これは、証明書のサブジェクト名とサブジェクトの代替名と一致させるために使用されます。
ボンディングされた NIC のみが選択されている場合:PSN がポータルを設定しようとすると、最初にボンディング インターフェイスを設定しようとします。これが成功しない場合、おそらくは、その PSN でボンディングが設定されていないために、PSN でエラーが記録されて終了します。PSN は物理インターフェイスでのポータルの開始を試みません。
NIC チーミングまたはボンディングは、高可用性(耐障害性)のために 2 つの個別の NIC を設定できる、O/S 設定オプションです。どちらかの NIC に障害が発生すると、ボンディングされた接続の一部であるもう一方の NIC は、接続を続行します。1 つの NIC がポータル設定に基づきポータルに対して選択されます。
[証明書グループ タグ(Certificate group tag)]:ポータルの HTTPS トラフィックに使用する証明書を指定する証明書グループ タグを選択します。
[完全修飾ドメイン名(FQDN)(Fully Qualified Domain Name (FQDN))]:スポンサーまたはデバイス ポータルに対応する 1 つの固有の FQDN またはホスト名を入力します。たとえば、sponsorportal.yourcompany.com,sponsor と入力することで、ユーザはブラウザにこれらのいずれかを入力すると、スポンサー ポータルが表示されます。カンマを使用して名前を区切りますが、エントリ間にスペースを挿入しないでください。
デフォルトの FQDN を変更する場合は、次を実行します。
DNS を更新して、新しい URL の FQDN が有効なポリシー サービス ノード(PSN)の IP アドレスに解決するようにします。PSN のプールを提供するロード バランサの仮想 IP アドレスを指定することもできます。
名前の不一致による証明書の警告メッセージを回避するために、Cisco ISE PSN のローカル サーバ証明書のサブジェクト代替名(SAN)属性に、カスタマイズされた URL の FQDN またはワイルドカードを含めます。
[認証方式(Authentication Method)]:ユーザ認証に使用する ID ソース順序(ISS)または ID プロバイダー(IdP)を選択します。ISS は、ユーザ クレデンシャルを確認するために順番に検索される ID ストアのリストです。たとえば、内部ゲスト ユーザ、内部ユーザ、Active Directory、LDAP ディレクトリ などがあります。
Cisco ISE には、スポンサー ポータル Sponsor_Portal_Sequence 用のデフォルトのスポンサー ID ソース順序が含まれています。
IdP を設定するには、
の順に選択します。ID ソース順序を設定するには、[管理(Administration)] > [IDの管理(Identity Management)] > [IDソース順序(Identity Source Sequences)] の順に選択します。
エンドポイント ID グループ(Endpoint identity group):ゲストのデバイスを追跡するためのエンドポイント ID グループを選択します。Cisco ISE はデフォルトとして使用する GuestEndpoints のエンドポイント ID グループを提供します。デフォルトを使用しない場合、追加のエンドポイント ID グループを作成することもできます。
従業員のデバイスを追跡するためのエンドポイント ID グループを選択します。Cisco ISE はデフォルトとして使用する RegisteredDevices のエンドポイント ID グループを提供します。デフォルトを使用しない場合、追加のエンドポイント ID グループを作成することもできます。
__日に達した場合にこの ID グループ内のエンドポイントを消去する(Purge endpoints in this identity group when they reach __ days):Cisco ISE データベースから消去されるまでの、ユーザのデバイスの登録からの日数を変更します。消去は毎日実行され、消去アクティビティは全体的な消去タイミングと同期されます。変更は、このエンドポイント ID グループ全体に適用されます。
その他のポリシー条件に基づいてエンドポイント消去ポリシーに変更が加えられた場合、この設定は使用できなくなります。
[アイドル タイムアウト(Idle timeout)]:ポータルでアクティビティがない場合にユーザをログアウトするまでに Cisco ISE が待機する時間(分)を入力します。有効な範囲は 1 ~ 30 分です。
表示言語
[ブラウザのロケールを使用する(Use browser locale)]:クライアント ブラウザのロケール設定で指定された言語をポータルの表示言語として使用します。ブラウザ ロケールの言語が ISE でサポートされていない場合は、フォールバック言語が言語ポータルとして使用されます。
[フォールバック言語(Fallback language)]:ブラウザ ロケールから言語を取得できない場合、またはブラウザ ロケール言語が ISE でサポートされていない場合に使用する言語を選択します。
[常に使用(Always use)]:ポータルに使用する表示言語を選択します。この設定は、ユーザのブラウザのロケール オプションを上書きします。
[スポンサーに使用可能な SSID(SSIDs available to sponsors)]:ゲストの訪問にあたり、スポンサーが正しい接続先ネットワークとしてゲストに通知できる、ネットワークの名前または SSID(セッション サービス識別子)を入力します。
[頻度制限までの最大ログイン試行失敗数(Maximum failed login attempts before rate limiting)]:Cisco ISE がアカウントのスロットルを開始するまでの単一のブラウザ セッションからのログイン試行失敗回数を指定します。これにより、アカウントのロックアウトは起きません。スロットル率は、[頻度制限時のログイン試行間隔(Time between login attempts when rate limiting)] で設定されます。
[頻度制限までの最大ログイン試行失敗数(Maximum failed login attempts before rate limiting)]:Cisco ISE がアカウントのスロットルを開始するまでの単一のブラウザ セッションからのログイン試行失敗回数を指定します。これにより、アカウントのロックアウトは起きません。スロットル率は、[頻度制限時のログイン試行間隔(Time between login attempts when rate limiting)] で設定されます。
[AUP を含める(Include an AUP)]:フローに利用規約ページを追加します。AUP をページに追加したり、別のページへのリンクを設定することができます。これを追加すると、右側のフローの画像が変わります。
[同意が必要(require acceptance)]:フローを続行する前に、ユーザが AUP に同意するように強制します。
フィールド | 使用上のガイドライン |
---|---|
AUP ページを含める(Include an AUP page) |
会社のネットワーク使用諸条件を、別のページでユーザに表示します。 |
AUP の最後までのスクロールが必要(Require scrolling to end of AUP) |
ユーザが AUP を最後まで読んだことを確認します。[同意(Accept)] ボタンは、ユーザが AUP の最後までスクロールするとアクティブになります。 |
初回のログインのみ(On first login only) |
ユーザがネットワークまたはポータルに初めてログインしたときのみ、AUP を表示します。 |
ログインごと(On every login) |
ユーザがネットワークまたはポータルにログインするごとに、AUP を表示します。 |
__日ごと(初回のログインから)(Every __ days (starting at first login)) |
ユーザがネットワークまたはポータルに初めてログインした後に、定期的に AUP を表示します。 |
フィールド | 使用上のガイドライン |
---|---|
ユーザが正常にログインした後、ネットワーク アクセスを付与される前に追加情報を表示します。 |
フィールド | 使用上のガイドライン |
---|---|
内部ユーザにパスワードの変更を許可する(Allow internal users to change password) |
従業員が、デバイス ポータルにログインした後で、自分のパスワードを変更することを許可します。 これは、アカウントが Cisco ISE データベース保存されている従業員に適用され、Active Directory や LDAP などの外部データベースに保存されている場合には適用されません。 |
フィールド | 使用上のガイドライン |
---|---|
紛失(Lost) |
すべてのデバイス。 デバイスを紛失したことを従業員が示すことができるようにします。このアクションは、デバイス ポータルのデバイスのステータスを [紛失(Lost)] に更新し、ブラックリストのエンドポイントの ID グループにそのデバイスを追加します。 |
復元(Reinstate) |
すべてのデバイス。 このアクションでは、ブラックリストに記載されているか、紛失したか、または盗難されたデバイスを復元し、そのステータスを最後の既知の値にリセットします。このアクションでは、ネットワークに接続する前に追加プロビジョニングを実行する必要があるため、盗難デバイスのステータスを [未登録(Not Registered)] にリセットします。 ブラックリストに記載されているデバイスを従業員が復元できないようにする場合は、デバイス ポータルでこのオプションを有効にしないでください。 |
削除(Delete) |
すべてのデバイス。 登録済みデバイスの最大数に到達した場合、従業員が、登録されたデバイスをデバイス ポータルから削除したり、未使用のデバイスを削除して新しいデバイスを追加したりできるようにします。このアクションによって、デバイス ポータルに表示されるデバイス リストからデバイスが削除されますが、デバイスは Cisco ISE データベースに残り、エンドポイントのリストに表示されます。 BYOD またはデバイス ポータルを使用して従業員が登録できるパーソナル デバイスの最大数を定義するには、 を選択します。Cisco ISE データベースからデバイスを完全に削除するには、 を選択します。 |
盗難(Stolen) |
すべてのデバイス。 デバイスが盗まれたことを従業員が示すことができるようにします。このアクションは、デバイス ポータルのデバイスのステータスを [盗難(Stolen)] に更新し、ブラックリストのエンドポイントの ID グループにそのデバイスを追加し、証明書を削除します。 |
デバイス ロック |
MDM 登録デバイスのみ。 デバイスの紛失または盗難が発生した場合、従業員がすぐにデバイス ポータルからリモートでデバイスをロックできるようにします。このアクションによって、デバイスの不正使用が防止されます。 ただし、デバイス ポータルでは PIN を設定できないため、従業員が事前にモバイル デバイスに設定しておく必要があります。 |
登録解除(Unenroll) |
MDM 登録デバイスのみ。 職場でデバイスを使用する必要がなくなった場合に、従業員がこのオプションを選択できるようにします。このアクションでは、会社がインストールしているアプリケーションと設定のみが削除され、従業員のモバイル デバイス上の他のアプリケーションおよびデータは維持されます。 |
完全消去(Full wipe) |
MDM 登録デバイスのみ。 デバイスを紛失したり、新しいものに交換したりした場合に、従業員がこのオプションを選択できるようにします。このアクションでは、従業員のモバイル デバイスを工場出荷時のデフォルト設定にリセットし、インストール済みのアプリケーションとデータを削除します。 |
これらの設定へのナビゲーション パスは、
です。[ページのカスタマイズ(Page Customizations)] で、デバイス ポータルの [追加(Add)]、[編集(Edit)]、および [検索(Locate)] の各タブに表示される、メッセージ、タイトル、コンテンツ、手順、およびフィールドやボタンのラベルをカスタマイズできます。
フィールド | 使用上のガイドライン |
---|---|
サポート情報ページを含める(Include a Support Information Page) |
該当ポータルのすべての有効なページ上で、問い合わせ先などの情報へのリンクを表示します。 |
MAC アドレス |
[サポート情報(Support Information)] ページにデバイスの MAC アドレスを含めます。 |
IP アドレス |
[サポート情報(Support Information)] ページにデバイスの IP アドレスを含めます。 |
ブラウザのユーザ エージェント(Browser user agent) |
[サポート情報(Support Information)] ページに、要求の発信元のユーザ エージェントの製品名とバージョン、レイアウト エンジン、バージョンなど、ブラウザの詳細を含めます。 |
ポリシー サーバ(Policy server) |
[サポート情報(Support Information)] ページに、このポータルを提供している ISE ポリシー サービス ノード(PSN)の IP アドレスを含めます。 |
障害コード(Failure code) |
可能な場合は、ログ メッセージ カタログ内の対応する番号を含めます。メッセージ カタログにアクセスしてこれを表示するには、 に移動します。 |
フィールドを隠す(Hide field) |
含める情報が存在しない場合、[サポート情報(Support Information)] ページ上の該当するフィールド ラベルを表示しません。たとえば、障害コードが不明であるために空白である場合、[障害コード(Failure code)] は、選択されている場合でも表示されません。 |
値のないラベルを表示(Display label with no value) |
含める情報が存在しない場合でも、選択されているすべてのフィールドのラベルを [サポート情報(Support Information)] ページに表示します。たとえば、障害コードが不明な場合、[障害コード(Failure code)] は空白であっても表示されます。 |
デフォルト値でラベルを表示(Display label with default value) |
[サポート情報(Support Information)] ページ上の選択されているフィールドに含まれる情報が存在しない場合、このテキストがこれらのすべてのフィールドに表示されます。たとえば、このフィールドに「Not Available」と入力した場合に障害コード不明が不明な場合は、[障害コード(Failure code)] に [使用できません(Not Available)] と表示されます。 |
SourceFire FireAMP または Qualys アダプタを追加できます。
次の表に、[新しいベンダー インスタンスの追加(Add New Vendor Instance)] ページにある各フィールドの説明を示します。このページのナビゲーション パスは、[管理(Administration)] > [脅威中心型 NAC(Threat Centric NAC)] > [サード パーティ ベンダー(Third Party Vendors)] > [追加(Add)] です。
フィールド |
使用上のガイドライン |
---|---|
ベンダー |
追加するアダプタに基づいて、次のいずれかのオプションを選択します。
|
[インスタンス名(Instance Name)] |
アダプタ インスタンスの名前を入力します。 |